Planet

06 Juin 2013 à 20:00

SSTIC 2013 Jour #2 via Quack1

Pour la deuxième journée du SSTIC, nous avons eu droit à 6 conférences, des présentations courtes, les résultats du challenge proposé par les organisateurs avant les inscriptions, et enfin une conférence invitée par Laurent Chemla!

UEFI

Slides

La journée a commencée par 2 conférences sur l'UEFI, on a donc eu une présentation commune par les deux orateurs sur l'UEFI, avant qu'ils attaquent leurs présentations respectives.

L'UEFI est le remplacant du BIOS dans les machines récentes. Il est plus moderne, avec un code de plus haut niveau (en C), multi-architecture, et qui intègre de nouvelles fonctionnalités au point qu'il soit presque un OS complet. Il possède notamment une gestion des drivers intégrée, une stack TCP/IP complète, un support du VGA, le SecureBoot, etc...

L'UEFI possède également une implémentation from scratch de la libc, sujette à de nombreuses vulnérabilités.

Dreamboot & UEFI (par Sébastien Kaczmarek)

Slides

Dreamboot est un bootkit pour Windows 8 permettant de corrompre le noyau, de bypasser l'authentification locale de la session Windows et escalader les privilèges. Simplement, la méthode utilisée est de placer des hooks depuis l'UEFI pour remplacer les actions lancées par le noyau. Pour bien comprendre ça, il faut avoir des notions de base sur le système des hooks (voir le lien plus haut).

UEFI & Bootkits PCI - Le danger vient d'en bas (par Pierre Chifflier)

Slides

Ici, on a (pour faire simple) une méthode similaire que pour Dreamboot, sauf qu'on passe par la carte graphique, qui doit aller patcher des données qui ne sont pas encore en mémoire, qu'on ne peut pas lire sur le disque et sans exécuter du code. Je n'ai pas plus de précisions, le mieux sera d'attendre les slides et la vidéo!

Programmation d'un noyau sécurisé en Ada (par Arnauld Michelizza)

Slides

L'objectif était ici de présenter les étapes de développement d'un noyau sécurisé en Ada, permettant de supprimer environ 80% des attaques connues sur les noyaux actuels (GNU/Linux, Windows), en supprimant les Buffer Overflows, Integer Overflow et autres Null Pointer Dereference.

Au final, le micro noyau a 11000 lignes de code, nécéssitant 1 an de travail, et avec quelques optimisations est (presque) aussi rapide (+15%) et un peu plus gros qu'un kernel GNU/Linux écrit en C.

Challenge

Slides

Le challenge du SSTIC est un bon défi pour ceux qui veulent se frotter un peu à des cas concrets de sécu. Le challenge de cette année a été résolu pas 15 équipes, et comportait 4 parties à résoudre séquentiellement. Au final, c'est plus de 17000 visites, représentant 3500 IP qui se sont rendues sur le site du challenge, depuis 62 pays et 534 villes françaises.

Les solutions complètes seront normalement bientôt en ligne, mais si vous voulez quelques infos rapides, @g4l4drim a fait un billet résumant la solution sont en ligne ici dans la partie Classement, en face du nom de chacun des challengers qui a réussi à résoudre le problème!

La couleur du Net (par L. Chemla)

J'attendais beaucoup cette conférence, puisque Laurent Chemla a de très bonnes idées et réflexions concernant la liberté sur Internet, et un peu tout ce qui touche au Net. Il est revenu sur les "problèmes" que posent l'Internet (partage, droit d'auteur, pédonazi, ...), mais aussi sur tous les changements apportés à la société par Internet.

J'ai d'ailleurs retenu deux citations :

L'objectif de ceux qui veulent la neutralité du Net c'est de garantir qu'Internet continue de changer notre société.

et

Quand on pourra surveiller ses surveillants, on sera vraiment libres.

Malheureusement, Laurent Chemla a juste eu le temps de faire son introduction au cours du temps qui lui était imparti pour sa conf, donc j'espère que l'article complet sera disponible sur Internet!

Présentations courtes Sécurité des applications Android constructeurs et backdoors sans permissions (par A. Moulu) Limites des Rainbow Tables et comment les dépasser en utilisant des méthodes probabilistes avancées (par C. Tissieres)

Slides

Dans cette conférence très technique, l'orateur voulait montrer qu'il était possible de développer de nouveaux modèles pour construire des Rainbow Tables plus facilement, en adaptant leur construction et surtout les mots de passe construits en fonction de la cible.

Pour information, les tables d'Ophcrack font 2To, et contiennent tous les mots de passe de 8 caractères créés à partir d'un alphabet de 100 caractères. La construction de celles-ci a nécéssité 6 mois de travail sur 3 cartes graphiques ATI HD6990.

Je ne vais pas rentrer dans les détails parce que, encore une fois, les techniques utilisées me dépassent un peu et il faudrait que je passe un peu plus qu'un conférence pour appronfondir la chose pour bien tout comprendre ;-)

Le but ici est donc d'utiliser des méthodes probabilistes utilisées en Intelligence Artificielle, comme l'algorithme du Sac à Dos (ou Algorithme Glouton), ou encore des Modèles de Markov pour déterminer plus précisement les mots de passes qui auraient le plus de chances d'être choisies par l'utilisateur.

Rumps

Les slides sur le site du SSTIC

Enfin, la journée de conférences c'est terminée par des rumps. Ce sont des conférences courtes de 3 min 30. À la fin de ce temps (ou même avant), si les spectateurs n'apprécient pas le contenu, ils applaudissent pour remercier l'orateur et pour qu'il parte. Au contraire, s'ils aiment bien, ils attendent avant d'applaudir pour donner un peu plus de temps au speaker.

Je n'ai pas eu le temps de prendre des notes puisque ça allait vraiment très vite, mais j'aurais tout de même retenu quelques petis trucs, soit dans des prez. sérieuses, soit dans certaines un peu plus humoristiques!

  • Un protocole très utilisé en VOIP est le protocole MGCP, qui n'intègre aucune sécurité : pas d'authentification, pas de sécurité internet, on peut même faire un Man-In-The-Middle très simplement en annonçant à la gateway d'un réseau (qui transforme le traffic entre l'IP du réseau interne et l'analogique du réseau téléphone) en se faisant passer pour une gateway relais. De cette façon la gateway nous renverra tout le traffic!
  • On a eu droit à une bonne prez de l'auteur du site java0day.com qui, en analysant ses logs Apache, a découvert qu'il recevait beaucoup de requêtes d'IP d'Oracle (il faut bien qu'ils s'informent pour savoir si quelqu'un a pété leur produit ;) ), mais depuis des vieux browsers tous pourris, ou depuis president.whitehouse.gov (avec un Firefox sur Ubuntu), et même depuis la Corée du Nord (avec un petit message en "North Korea, Democratic Republic Of").
  • Enfin, Nicolas Ruff a démonté une appliance de sécurité (pourtant certifiée CSPN par l'ANSSI) qui possdait des mots de passe en dur dans le code source PHP (bon, ok, c'était plutôt le hash du password. Mais en commentaire c'était marqué /* Hash of '*********'), des clés secrètes ssh dispo dans un répertoire à n-1 de la racine, etc... En bref, que du lulz!

 

Pour conclure la soirée, nous avons été invités à un Social Event, en gros une soirée avec boisson et nourriture à volontée, pour pouvoir discuter un peu avec tout le monde. J'en ai profité pour aller discuter avec Zythom(, un expert judiciaire en informatique qui publie un blog dont je vous recommande chaudement la lecture!) que je suivais depuis un moment via son blog ou Twitter et que je voulais rencontrer AFK. Et honnêtement, j'ai bien fait, puisqu'il est vraiment super sympa, très abordable, et aussi "très bavard" (je le cite ;) ). J'ai aussi pu parler avec Galadrim, Cédric Foll et bien d'autres gens, comme des twittos avec qui j'ai sûrement aussi parlé via Twitter, avec des thésards de Supelec, ou simplement des professionnels de la sécu.

C'était vraiment une bonne soirée, ça valait vraiment le coup, et ça nous a emmené doucement vers la troisième journée

06 Juin 2013 à 20:00

SSTIC 2013 Jour #2 via Quack1

Pour la deuxième journée du SSTIC, nous avons eu droit à 6 conférences, des présentations courtes, les résultats du challenge proposé par les organisateurs avant les inscriptions, et enfin une conférence invitée par Laurent Chemla!

UEFI

Slides

La journée a commencée par 2 conférences sur l'UEFI, on a donc eu une présentation commune par les deux orateurs sur l'UEFI, avant qu'ils attaquent leurs présentations respectives.

L'UEFI est le remplacant du BIOS dans les machines récentes. Il est plus moderne, avec un code de plus haut niveau (en C), multi-architecture, et qui intègre de nouvelles fonctionnalités au point qu'il soit presque un OS complet. Il possède notamment une gestion des drivers intégrée, une stack TCP/IP complète, un support du VGA, le SecureBoot, etc...

L'UEFI possède également une implémentation from scratch de la libc, sujette à de nombreuses vulnérabilités.

Dreamboot & UEFI (par Sébastien Kaczmarek)

Slides

Dreamboot est un bootkit pour Windows 8 permettant de corrompre le noyau, de bypasser l'authentification locale de la session Windows et escalader les privilèges. Simplement, la méthode utilisée est de placer des hooks depuis l'UEFI pour remplacer les actions lancées par le noyau. Pour bien comprendre ça, il faut avoir des notions de base sur le système des hooks (voir le lien plus haut).

UEFI & Bootkits PCI - Le danger vient d'en bas (par Pierre Chifflier)

Slides

Ici, on a (pour faire simple) une méthode similaire que pour Dreamboot, sauf qu'on passe par la carte graphique, qui doit aller patcher des données qui ne sont pas encore en mémoire, qu'on ne peut pas lire sur le disque et sans exécuter du code. Je n'ai pas plus de précisions, le mieux sera d'attendre les slides et la vidéo!

Programmation d'un noyau sécurisé en Ada (par Arnauld Michelizza)

Slides

L'objectif était ici de présenter les étapes de développement d'un noyau sécurisé en Ada, permettant de supprimer environ 80% des attaques connues sur les noyaux actuels (GNU/Linux, Windows), en supprimant les Buffer Overflows, Integer Overflow et autres Null Pointer Dereference.

Au final, le micro noyau a 11000 lignes de code, nécéssitant 1 an de travail, et avec quelques optimisations est (presque) aussi rapide (+15%) et un peu plus gros qu'un kernel GNU/Linux écrit en C.

Challenge

Slides

Le challenge du SSTIC est un bon défi pour ceux qui veulent se frotter un peu à des cas concrets de sécu. Le challenge de cette année a été résolu pas 15 équipes, et comportait 4 parties à résoudre séquentiellement. Au final, c'est plus de 17000 visites, représentant 3500 IP qui se sont rendues sur le site du challenge, depuis 62 pays et 534 villes françaises.

Les solutions complètes seront normalement bientôt en ligne, mais si vous voulez quelques infos rapides, @g4l4drim a fait un billet résumant la solution sont en ligne ici dans la partie Classement, en face du nom de chacun des challengers qui a réussi à résoudre le problème!

La couleur du Net (par L. Chemla)

J'attendais beaucoup cette conférence, puisque Laurent Chemla a de très bonnes idées et réflexions concernant la liberté sur Internet, et un peu tout ce qui touche au Net. Il est revenu sur les "problèmes" que posent l'Internet (partage, droit d'auteur, pédonazi, ...), mais aussi sur tous les changements apportés à la société par Internet.

J'ai d'ailleurs retenu deux citations :

L'objectif de ceux qui veulent la neutralité du Net c'est de garantir qu'Internet continue de changer notre société.

et

Quand on pourra surveiller ses surveillants, on sera vraiment libres.

Malheureusement, Laurent Chemla a juste eu le temps de faire son introduction au cours du temps qui lui était imparti pour sa conf, donc j'espère que l'article complet sera disponible sur Internet!

Présentations courtes Sécurité des applications Android constructeurs et backdoors sans permissions (par A. Moulu) Limites des Rainbow Tables et comment les dépasser en utilisant des méthodes probabilistes avancées (par C. Tissieres)

Slides

Dans cette conférence très technique, l'orateur voulait montrer qu'il était possible de développer de nouveaux modèles pour construire des Rainbow Tables plus facilement, en adaptant leur construction et surtout les mots de passe construits en fonction de la cible.

Pour information, les tables d'Ophcrack font 2To, et contiennent tous les mots de passe de 8 caractères créés à partir d'un alphabet de 100 caractères. La construction de celles-ci a nécéssité 6 mois de travail sur 3 cartes graphiques ATI HD6990.

Je ne vais pas rentrer dans les détails parce que, encore une fois, les techniques utilisées me dépassent un peu et il faudrait que je passe un peu plus qu'un conférence pour appronfondir la chose pour bien tout comprendre ;-)

Le but ici est donc d'utiliser des méthodes probabilistes utilisées en Intelligence Artificielle, comme l'algorithme du Sac à Dos (ou Algorithme Glouton), ou encore des Modèles de Markov pour déterminer plus précisement les mots de passes qui auraient le plus de chances d'être choisies par l'utilisateur.

Rumps

Les slides sur le site du SSTIC

Enfin, la journée de conférences c'est terminée par des rumps. Ce sont des conférences courtes de 3 min 30. À la fin de ce temps (ou même avant), si les spectateurs n'apprécient pas le contenu, ils applaudissent pour remercier l'orateur et pour qu'il parte. Au contraire, s'ils aiment bien, ils attendent avant d'applaudir pour donner un peu plus de temps au speaker.

Je n'ai pas eu le temps de prendre des notes puisque ça allait vraiment très vite, mais j'aurais tout de même retenu quelques petis trucs, soit dans des prez. sérieuses, soit dans certaines un peu plus humoristiques!

  • Un protocole très utilisé en VOIP est le protocole MGCP, qui n'intègre aucune sécurité : pas d'authentification, pas de sécurité internet, on peut même faire un Man-In-The-Middle très simplement en annonçant à la gateway d'un réseau (qui transforme le traffic entre l'IP du réseau interne et l'analogique du réseau téléphone) en se faisant passer pour une gateway relais. De cette façon la gateway nous renverra tout le traffic!
  • On a eu droit à une bonne prez de l'auteur du site java0day.com qui, en analysant ses logs Apache, a découvert qu'il recevait beaucoup de requêtes d'IP d'Oracle (il faut bien qu'ils s'informent pour savoir si quelqu'un a pété leur produit ;) ), mais depuis des vieux browsers tous pourris, ou depuis president.whitehouse.gov (avec un Firefox sur Ubuntu), et même depuis la Corée du Nord (avec un petit message en "North Korea, Democratic Republic Of").
  • Enfin, Nicolas Ruff a démonté une appliance de sécurité (pourtant certifiée CSPN par l'ANSSI) qui possdait des mots de passe en dur dans le code source PHP (bon, ok, c'était plutôt le hash du password. Mais en commentaire c'était marqué /* Hash of '*********'), des clés secrètes ssh dispo dans un répertoire à n-1 de la racine, etc... En bref, que du lulz!

 

Pour conclure la soirée, nous avons été invités à un Social Event, en gros une soirée avec boisson et nourriture à volontée, pour pouvoir discuter un peu avec tout le monde. J'en ai profité pour aller discuter avec Zythom(, un expert judiciaire en informatique qui publie un blog dont je vous recommande chaudement la lecture!) que je suivais depuis un moment via son blog ou Twitter et que je voulais rencontrer AFK. Et honnêtement, j'ai bien fait, puisqu'il est vraiment super sympa, très abordable, et aussi "très bavard" (je le cite ;) ). J'ai aussi pu parler avec Galadrim, Cédric Foll et bien d'autres gens, comme des twittos avec qui j'ai sûrement aussi parlé via Twitter, avec des thésards de Supelec, ou simplement des professionnels de la sécu.

C'était vraiment une bonne soirée, ça valait vraiment le coup, et ça nous a emmené doucement vers la troisième journée

Persifal, ou comment écrire des parsers résistants (par O. Levillain)

Slides & Sources

Cette présentation courte veut combler le problème des parsers de protocoles comme ceux intégrés à Wireshark ou Scapy.

Au lieu d'écrire des fichiers complexes pour parser un protocole simple, Persifal utilise des fichier OCaml concis. On a donc a définir simplement une structure qui réprésente le protocole et le framework Persifal va intégrer le tout et créer un parser complet.

nftables (bien plus qu'iptables) (par E. Leblond)

Slides.

Cette dernière présentation courte a été donnée par un des membres de la coreteam d'iptables. C'est donc un bonhomme qui maitrise bien le firewall-ing!

Il nous a présenté nftables, le futur remplacant d'iptables, qui est actuellement développé activement par l'équipe d'iptables. Le but ? Supprimer le fonctionnement un peu archaïque de l'ajout ou de la modification des règles (syntaxe pas très claire et mise à jour des règles chargées dans le noyau trop coûteuse).

Ici, la nouvelle syntaxe sera beaucoup plus sexy, la mise à jour des règles dans le noyau sera faite via Netlink, qui est un système qui envoie des messages au noyau, qui se charge de gérer les règles dans son coin.

Et bien sûr, une rétro-compatibilité avec Netfilter/iptables sera assurée!

Un Quick and Dirty Howto est aussi disponible.

(par J. Daemen)

Les slides sont dispo ici

L'orateur, Joan Daemen, est un peu une des stars de la crypto aujourd'hui. Il a (attention les yeux) remporté 2 fois les défis du NIST (l'organisme américain qui gère les standards en technologie, notamment en crypto). Le monsieur a donc participé a l'élaboration du protocole AES, et à celui de Keccak, mieux connu sous le nom de SHA-3.

Sa présentation d'une heure, en anglais, a été plutôt difficile à suivre puisqu'il avait un accent un peu spécial et qu'on ne le comprennait pas tellement avec le micro. Malgré tout j'ai pu suivre grâce aux slides, et il a retracé l'ensemble des évolutions de la cryto symétrique, depuis le DES jusqu'aux algorithmes qu'il a participé à écrire.

J'aurai surtout retenu que pour faire de bons protocoles il faut :

  • Essayer beaucoup d'idées
  • Jeter la plupart d'entre elles
  • Garder les bonnes
  • Avoir dans l'équipe des gens qui vont collaborer et surtout confronter leurs idées pour améliorer les choses

Son avant dernière diapo était également très bonne. Il y expliquait les lignes directrices utilisées pour développer leurs algos (applicables à un peu tous les projets ;) ) :

  • Ré-écrire et ré-organiser le code plutôt que le patcher
  • Privilégier la simplicité à la complexité
  • Être motivés par le résultat plutôt que par les papiers scientifiques.

Des infos sur ce sur quoi il travaille sont dispos à http://sponge.noekeon.org et http://keccak.noekeon.org

Persifal, ou comment écrire des parsers résistants (par O. Levillain)

Slides & Sources

Cette présentation courte veut combler le problème des parsers de protocoles comme ceux intégrés à Wireshark ou Scapy.

Au lieu d'écrire des fichiers complexes pour parser un protocole simple, Persifal utilise des fichier OCaml concis. On a donc a définir simplement une structure qui réprésente le protocole et le framework Persifal va intégrer le tout et créer un parser complet.

nftables (bien plus qu'iptables) (par E. Leblond)

Slides.

Cette dernière présentation courte a été donnée par un des membres de la coreteam d'iptables. C'est donc un bonhomme qui maitrise bien le firewall-ing!

Il nous a présenté nftables, le futur remplacant d'iptables, qui est actuellement développé activement par l'équipe d'iptables. Le but ? Supprimer le fonctionnement un peu archaïque de l'ajout ou de la modification des règles (syntaxe pas très claire et mise à jour des règles chargées dans le noyau trop coûteuse).

Ici, la nouvelle syntaxe sera beaucoup plus sexy, la mise à jour des règles dans le noyau sera faite via Netlink, qui est un système qui envoie des messages au noyau, qui se charge de gérer les règles dans son coin.

Et bien sûr, une rétro-compatibilité avec Netfilter/iptables sera assurée!

Un Quick and Dirty Howto est aussi disponible.

(par J. Daemen)

Les slides sont dispo ici

L'orateur, Joan Daemen, est un peu une des stars de la crypto aujourd'hui. Il a (attention les yeux) remporté 2 fois les défis du NIST (l'organisme américain qui gère les standards en technologie, notamment en crypto). Le monsieur a donc participé a l'élaboration du protocole AES, et à celui de Keccak, mieux connu sous le nom de SHA-3.

Sa présentation d'une heure, en anglais, a été plutôt difficile à suivre puisqu'il avait un accent un peu spécial et qu'on ne le comprennait pas tellement avec le micro. Malgré tout j'ai pu suivre grâce aux slides, et il a retracé l'ensemble des évolutions de la cryto symétrique, depuis le DES jusqu'aux algorithmes qu'il a participé à écrire.

J'aurai surtout retenu que pour faire de bons protocoles il faut :

  • Essayer beaucoup d'idées
  • Jeter la plupart d'entre elles
  • Garder les bonnes
  • Avoir dans l'équipe des gens qui vont collaborer et surtout confronter leurs idées pour améliorer les choses

Son avant dernière diapo était également très bonne. Il y expliquait les lignes directrices utilisées pour développer leurs algos (applicables à un peu tous les projets ;) ) :

  • Ré-écrire et ré-organiser le code plutôt que le patcher
  • Privilégier la simplicité à la complexité
  • Être motivés par le résultat plutôt que par les papiers scientifiques.

Des infos sur ce sur quoi il travaille sont dispos à http://sponge.noekeon.org et http://keccak.noekeon.org

05 Juin 2013 à 20:00

SSTIC 2013 Jour #1 via Quack1

Aujourd'hui a débuté la 11ème édition du SSTIC 2013. L'évènement a débuté à 9h ce matin par la validation de mon inscription, et la réception du petit goodies bag, plutôt léger (un MISC Mag., un autocollant SSTIC 2013, un livre contenant l'ensemble des whitepapers, et un porte-badge SSTIC).

C'était pas moins de 10 conférences que nous avons pu voir aujourd'hui. Je vais faire un petit résumé de chacune, soit ici, soit dans un article séparé si j'ai trop de choses à dire ;-)

Innovations en crypto symétrique (par J. Daemen) Mise a plat de graphes de flot de contrôle et exécution symbolique (par E. Vanderbéken)

Slides

J'ai un peu moins compris cette conf' parce que c'est un peu moins ce qui m'intéresse, mais je vais essayer de dire les choses simplement.

Un programme peut être représenté comme un graphe, qui donne les liens et la suite d'exécution entre chaque portion de code. Sauf que pour masquer les malware, des packers vont modifier le binaire pour brouiller les liens jusqu'à rendre le code incompréhensible.

Le but de la conférence est de montrer une technique qui permet de débrouiller le code en remettant à plat le graphe de flot selon des nouvelles techniques d'analyse du code.

Polyglottes binaires et implications (par A. Albertini)

Slides

J'ai adoré cette présentation, même si je ne pourrais pas tout détailler ici.

Le but est de montrer qu'il est possible de créer un fichier d'un type donné (ici un pdf) et d'incorporer dans ce fichier des portions de code PE (format d'exécutable Windows), d'Html, de code Java, etc... Et tout ceci en ayant un fichier final valide.

Pour plus de détail (ce serait trop long ici), voir le site de l'auteur corkami.com ou pour le PDF version Linux ici

Pire, on peut créer un fichier PDF qui s'affichera différement suivant le lecteur utilisé, à cause du laxisme de chacun d'entre eux.

Chrome, c'est n'importe quoi,Sumatra c'est n'importe quoi, Adobe c'est n'importe quoi, mais en moins pire

Recompilation dynamique de codes binaires hostiles (par S. Josse)

Là encore je n'ai pas tout compris, mais en gros le but est d'avoir un logiciel qui est capable d'unpacker, analyser et comprendre automatiquement le fonctionnement d'un malware, puis de ré-écrire le binaire pour l'exécuter dans un environnement virtualisé (QEMU).

Présentations courtes Compromission d'un terminal sécurisé via l'interface carte à puces (par G. Vinet)

Slides

Une conférence très technique et pointue sur la carte à puce. Malheureusement pas trop mon délire...

Attaques applicatives via périphériques USB modifiés : infection virale et fuite d'informations (par B. Badrignans)

Slides

Cette présentation était très intéressante. On nous a montré ici qu'on pouvait créer un périphérique USB custom qui se fait passer pour autre chose que ce qu'il est réellement. Par exemple, un clavier USB qui contient un petit disque USB non visible avec un malware. Le clavier va donc ensuite pouvoir taper une commande sur l'OS pour executer le malware qu'il contient dès son branchement.

Red October (par N. Brulez)

Slides

Nicolas Brulez, Principal Malware Researcher chez Kaspersky Labs est revenu sur Red October, l'attaque par malware survenue entre 2007 et 2013 sur de nombreux systèmes diplomatiques ou gouvernementaux internationaux.

De nombreux articles sur le sujet sont disponibles sur le Net, j'aurais retenu que les attaques commençaient par du physique et des attaques (très connues, pas de 0 day) sur des fichiers Word ou Excel. Les malwares contenaient de nombreux modules permettant d'infecter des mobiles, de récupérer des mots de passe, des infos sur les routeurs Cisco, ...

Je retiendrais enfin les techniques utilisées par Kaspersky pour obtenir des infos sur les serveurs C&C ou les malwares. Les attaquants avaient fait des fautes de frappes dans les noms de domaine qu'ils avaient enregistrés pour être contacté par les malwares, ou tout simplement qu'ils n'avaient pas été renouvelés. Ils ont ainsi pu ré-acheter ces NDD pour obtenir des informations sur les données et requêtes que les virus clients envoyaient aux serveurs.

Plutôt que de prendre des photos de loin avec mon téléphone, j'ai réussi à récupérer les images présentées dans les slides sur l'infra de Red October et ses principales victimes.

L'embarqué entre confiance et défiance (par A. Francillon)

Slides

La conférence était un peu confuse, mais ça m'a permis de voir que sur à peu près tous les périphériques embarqués (tels que des puces 3G, des puces de disques dur ou même de clé de voiture sans contact) n'étaient pas très sécurisés et qu'avec quelques manips on pouvait modifier le firmware installé ou simplement bypasser les protections (non existantes bien souvent).

J'aurais aussi retenu un autre conseil : si vous voulez faire du Hack/DIY, courez acheter du scotch!

 

J'ai profité de la soirée sur Rennes pour voir des potes, boire quelques bières en terrasse, manger une galette ou deux et boire quelques bières avant d'attaquer la deuxième journée

05 Juin 2013 à 20:00

SSTIC 2013 Jour #1 via Quack1

Aujourd'hui a débuté la 11ème édition du SSTIC 2013. L'évènement a débuté à 9h ce matin par la validation de mon inscription, et la réception du petit goodies bag, plutôt léger (un MISC Mag., un autocollant SSTIC 2013, un livre contenant l'ensemble des whitepapers, et un porte-badge SSTIC).

C'était pas moins de 10 conférences que nous avons pu voir aujourd'hui. Je vais faire un petit résumé de chacune, soit ici, soit dans un article séparé si j'ai trop de choses à dire ;-)

Innovations en crypto symétrique (par J. Daemen) Mise a plat de graphes de flot de contrôle et exécution symbolique (par E. Vanderbéken)

Slides

J'ai un peu moins compris cette conf' parce que c'est un peu moins ce qui m'intéresse, mais je vais essayer de dire les choses simplement.

Un programme peut être représenté comme un graphe, qui donne les liens et la suite d'exécution entre chaque portion de code. Sauf que pour masquer les malware, des packers vont modifier le binaire pour brouiller les liens jusqu'à rendre le code incompréhensible.

Le but de la conférence est de montrer une technique qui permet de débrouiller le code en remettant à plat le graphe de flot selon des nouvelles techniques d'analyse du code.

Polyglottes binaires et implications (par A. Albertini)

Slides

J'ai adoré cette présentation, même si je ne pourrais pas tout détailler ici.

Le but est de montrer qu'il est possible de créer un fichier d'un type donné (ici un pdf) et d'incorporer dans ce fichier des portions de code PE (format d'exécutable Windows), d'Html, de code Java, etc... Et tout ceci en ayant un fichier final valide.

Pour plus de détail (ce serait trop long ici), voir le site de l'auteur corkami.com ou pour le PDF version Linux ici

Pire, on peut créer un fichier PDF qui s'affichera différement suivant le lecteur utilisé, à cause du laxisme de chacun d'entre eux.

Chrome, c'est n'importe quoi,Sumatra c'est n'importe quoi, Adobe c'est n'importe quoi, mais en moins pire

Recompilation dynamique de codes binaires hostiles (par S. Josse)

Là encore je n'ai pas tout compris, mais en gros le but est d'avoir un logiciel qui est capable d'unpacker, analyser et comprendre automatiquement le fonctionnement d'un malware, puis de ré-écrire le binaire pour l'exécuter dans un environnement virtualisé (QEMU).

Présentations courtes Compromission d'un terminal sécurisé via l'interface carte à puces (par G. Vinet)

Slides

Une conférence très technique et pointue sur la carte à puce. Malheureusement pas trop mon délire...

Attaques applicatives via périphériques USB modifiés : infection virale et fuite d'informations (par B. Badrignans)

Slides

Cette présentation était très intéressante. On nous a montré ici qu'on pouvait créer un périphérique USB custom qui se fait passer pour autre chose que ce qu'il est réellement. Par exemple, un clavier USB qui contient un petit disque USB non visible avec un malware. Le clavier va donc ensuite pouvoir taper une commande sur l'OS pour executer le malware qu'il contient dès son branchement.

Red October (par N. Brulez)

Slides

Nicolas Brulez, Principal Malware Researcher chez Kaspersky Labs est revenu sur Red October, l'attaque par malware survenue entre 2007 et 2013 sur de nombreux systèmes diplomatiques ou gouvernementaux internationaux.

De nombreux articles sur le sujet sont disponibles sur le Net, j'aurais retenu que les attaques commençaient par du physique et des attaques (très connues, pas de 0 day) sur des fichiers Word ou Excel. Les malwares contenaient de nombreux modules permettant d'infecter des mobiles, de récupérer des mots de passe, des infos sur les routeurs Cisco, ...

Je retiendrais enfin les techniques utilisées par Kaspersky pour obtenir des infos sur les serveurs C&C ou les malwares. Les attaquants avaient fait des fautes de frappes dans les noms de domaine qu'ils avaient enregistrés pour être contacté par les malwares, ou tout simplement qu'ils n'avaient pas été renouvelés. Ils ont ainsi pu ré-acheter ces NDD pour obtenir des informations sur les données et requêtes que les virus clients envoyaient aux serveurs.

Plutôt que de prendre des photos de loin avec mon téléphone, j'ai réussi à récupérer les images présentées dans les slides sur l'infra de Red October et ses principales victimes.

L'embarqué entre confiance et défiance (par A. Francillon)

Slides

La conférence était un peu confuse, mais ça m'a permis de voir que sur à peu près tous les périphériques embarqués (tels que des puces 3G, des puces de disques dur ou même de clé de voiture sans contact) n'étaient pas très sécurisés et qu'avec quelques manips on pouvait modifier le firmware installé ou simplement bypasser les protections (non existantes bien souvent).

J'aurais aussi retenu un autre conseil : si vous voulez faire du Hack/DIY, courez acheter du scotch!

 

J'ai profité de la soirée sur Rennes pour voir des potes, boire quelques bières en terrasse, manger une galette ou deux et boire quelques bières avant d'attaquer la deuxième journée

04 Juin 2013 à 21:33

SSTIC 2013 : Me voilà! via Quack1

 

Cette année, j'ai la chance de pouvoir assister, plus ou moins dans le cadre de mon stage, au #SSTIC, une des plus anciennes et une des plus grandes conférences de matière de Sécurité Informatique en France.

Malgré que les places se soient arrachées très rapidement, j'ai pu (merci ma touche [F5]) a décroché un fabuleux sésame pour y participer.

Cette conférence se déroule à Rennes tous les ans depuis un peu plus d'une dizaine d'années maintenant et réuni des conférenciers de très bon niveau durant 3 jours, et je me ferais un plaisir de vous live-tweeter le tout sur mon compte Twitter et au travers de résumés journaliers le soir sur ce blog. Stay Tuned !!

Liens directs

 

Pour les lecteurs du Planet-Libre, je dois reconnaitre que cet article (et les suivants concernant le SSTIC) ne sont pas totalement dans l'optique du libre, mais je pense que cela peut être intéressant pour ces lecteurs d'avoir accès à des retours sur ce genre de manifestation.

04 Juin 2013 à 21:33

SSTIC 2013 : Me voilà! via Quack1

 

Cette année, j'ai la chance de pouvoir assister, plus ou moins dans le cadre de mon stage, au #SSTIC, une des plus anciennes et une des plus grandes conférences de matière de Sécurité Informatique en France.

Malgré que les places se soient arrachées très rapidement, j'ai pu (merci ma touche [F5]) a décroché un fabuleux sésame pour y participer.

Cette conférence se déroule à Rennes tous les ans depuis un peu plus d'une dizaine d'années maintenant et réuni des conférenciers de très bon niveau durant 3 jours, et je me ferais un plaisir de vous live-tweeter le tout sur mon compte Twitter et au travers de résumés journaliers le soir sur ce blog. Stay Tuned !!

Liens directs

 

Pour les lecteurs du Planet-Libre, je dois reconnaitre que cet article (et les suivants concernant le SSTIC) ne sont pas totalement dans l'optique du libre, mais je pense que cela peut être intéressant pour ces lecteurs d'avoir accès à des retours sur ce genre de manifestation.

Pages