Planet

08 Juin 2013 à 20:00

SSTIC 2013 : The End via Quack1

Le SSTIC 2013 vient de se terminer, et j'ai déjà hâte à l'année prochaine pour pouvoir y retourner. Mais avant de penser à l'année prochaine faisons une petite rétrospective de cette année!

Avant tout, je veux quand même féliciter tous les orateurs, les organisateurs et les membres du comité de programme pour l'excellent niveau des conférences auxquelles j'ai pu assister.

J'ai également eu l'occasion de rencontrer beaucoup de monde, certains que je connaissais AFK, d'autres que je ne connaissais que via Twitter, et d'autres que je ne connaissais pas du tout. Je tiens donc à remercier, en vrac, pour les bons moments passés à discuter, @follc, @Zythom (je vous conseille très fortement de lire son blog), @g4l4drim, @newsoft, et beaucoup d'autres dont je n'ai pas les nicks Twitter.

Je ferais sûrement une prez avec un recap des conférences au boulot, si j'y pense je posterais le lien ici aussi!

Pour finir mon article, voilà les liens pour accéder à mes différents billets et quelques stats sur ce qui a été twitté la semaine dernière.

Liens directs vers mes autres articles SSTIC : May the Force be with Twitter

Sur les 3 jours du SSTIC, nous avons été entre 5 et 6 à live-tweeter intensément et régulièrement les conférences. La palme revenant à Heat Miser qui a sans aucun doute été celui qui a le mieux live-twitté les trois jours!

Quelques statistiques pour le hastag #SSTIC :

Images les plus tweetées

 

Sinon, voici un peu d'attention-whorisme de ma part avec les stats sur mes tweets et mes tweets les plus RT/favorisés.

Sur les 3 jours, j'ai twitté plus de 130 tweets sur le hashtag #SSTIC. Ils sont répartis sur les 3 jours avec 56 le premier jour, 39 le deuxième et 35 le troisième.

Mes 3 tweets les plus RT/favorisés sont les suivants :

08 Juin 2013 à 20:00

SSTIC 2013 : The End via Quack1

Le SSTIC 2013 vient de se terminer, et j'ai déjà hâte à l'année prochaine pour pouvoir y retourner. Mais avant de penser à l'année prochaine faisons une petite rétrospective de cette année!

Avant tout, je veux quand même féliciter tous les orateurs, les organisateurs et les membres du comité de programme pour l'excellent niveau des conférences auxquelles j'ai pu assister.

J'ai également eu l'occasion de rencontrer beaucoup de monde, certains que je connaissais AFK, d'autres que je ne connaissais que via Twitter, et d'autres que je ne connaissais pas du tout. Je tiens donc à remercier, en vrac, pour les bons moments passés à discuter, @follc, @Zythom (je vous conseille très fortement de lire son blog), @g4l4drim, @newsoft, et beaucoup d'autres dont je n'ai pas les nicks Twitter.

Je ferais sûrement une prez avec un recap des conférences au boulot, si j'y pense je posterais le lien ici aussi!

Pour finir mon article, voilà les liens pour accéder à mes différents billets et quelques stats sur ce qui a été twitté la semaine dernière.

Liens directs vers mes autres articles SSTIC : May the Force be with Twitter

Sur les 3 jours du SSTIC, nous avons été entre 5 et 6 à live-tweeter intensément et régulièrement les conférences. La palme revenant à Heat Miser qui a sans aucun doute été celui qui a le mieux live-twitté les trois jours!

Quelques statistiques pour le hastag #SSTIC :

Images les plus tweetées

 

Sinon, voici un peu d'attention-whorisme de ma part avec les stats sur mes tweets et mes tweets les plus RT/favorisés.

Sur les 3 jours, j'ai twitté plus de 130 tweets sur le hashtag #SSTIC. Ils sont répartis sur les 3 jours avec 56 le premier jour, 39 le deuxième et 35 le troisième.

Mes 3 tweets les plus RT/favorisés sont les suivants :

Slides

Invité en tant que (je cite) "vieux con" à donner la conférence de clotûre de l'édition 2013 du SSTIC, Ludovic Mé, enseignant-chercheur à Supelec Rennes, a axé sa présentation sur les deux points qu'il connaît le mieux : la détection d'intrusions et la formation.

La détection

Le Livre Blanc 2013 donne comme règles d'être capable de détecter et d'obtenir le plus d'informations sur les opposants lors d'intrusions ou d'attaques. Il est donc nécéssaire d'être compétents en matière de détection d'intrusions.

Ludovic Mé a donc présenté rapidement les grands principes de la détection d'intrusions, et notamment la forte présence de faux positifs dans les alertes des IDS. Il a alors proposé comme solution la corrélation d'alertes, au moyen de SIEM. Il a également précisé l'importance des alertes reçues pour obtenir une corrélation plus précise, et de fait l'importance d'avoir de meilleurs [N/H]IDS, et la difficulté de maintenir des règles en concordance avec la politique de sécurité de l'entreprise.

La formation

La deuxième partie de l'exposé de Ludovic Mé a été beaucoup plus intéressante à mon goût, puisqu'elle traitait de l'importance de la formation en matière de sécurité informatique. L'informatique étant tellement présente dans notre vie de tous les jours qu'il est nécéssaire d'apprendre les bonnes pratiques de protection à tous.

Cette formation doit d'abord passer par la sensibilisation à tous les niveaux de la sécurité (logicielle, hardware, physique et organisationnelle) de tous :

  • du grand public
  • de tous les professionnels (TPE, PME, ...)
  • de tous les ingénieurs
  • de tous les informaticiens
  • de tous les experts SSI

Cette sensibilisation doit commencer au plus tôt, aux alentours du collège ou du lycée, en commencant par la programmation, la culture SI, mais aussi et surtout par la formation des profs, qui ont rarement un bon niveau d'informatique. De même, Ludovic Mé se posait la question de l'importance de l'informatique en classes préparatoires (et même en L3).

Le redressement productif il vient de mecs qui maitrîse les maths, la physique ou l'informatique ?

Enfin, il ne faut pas former qu'à la défense et aux concepts de base de la sécurité. Le Livre Blanc autorisant aujourd'hui des contres-attaques proportionnées aux attaques reçues. Cependant, cette formation à l'attaque doit être maitrisée, et doit être faite conjointement à des instructions sur l'éthique.

 

J'ai beaucoup aimé cette conférence, même si la première partie sur la détection était (à mon goût) un peu moins intéressante. Mais cela vient peut être du fait que je bosse dans les IDS et donc que ce n'était pour moi que des redite. Sinon, c'est vrai qu'il est plutôt bon de parler un peu des IDS dans des conférences plutôt portées sur l'attaque!

Par contre, la dernière partie sur la formation était excellente et concluait très bien le SSTIC puisqu'elle soulevait énormément de questions!

 

On pourra également noter l'intervention de Fred Raynal en fin de conférence :

Je te dis ça de vieux con à vieux con... Enfin, je suis un peu moins vieux, mais un peu plus con! [...]

Slides

Invité en tant que (je cite) "vieux con" à donner la conférence de clotûre de l'édition 2013 du SSTIC, Ludovic Mé, enseignant-chercheur à Supelec Rennes, a axé sa présentation sur les deux points qu'il connaît le mieux : la détection d'intrusions et la formation.

La détection

Le Livre Blanc 2013 donne comme règles d'être capable de détecter et d'obtenir le plus d'informations sur les opposants lors d'intrusions ou d'attaques. Il est donc nécéssaire d'être compétents en matière de détection d'intrusions.

Ludovic Mé a donc présenté rapidement les grands principes de la détection d'intrusions, et notamment la forte présence de faux positifs dans les alertes des IDS. Il a alors proposé comme solution la corrélation d'alertes, au moyen de SIEM. Il a également précisé l'importance des alertes reçues pour obtenir une corrélation plus précise, et de fait l'importance d'avoir de meilleurs [N/H]IDS, et la difficulté de maintenir des règles en concordance avec la politique de sécurité de l'entreprise.

La formation

La deuxième partie de l'exposé de Ludovic Mé a été beaucoup plus intéressante à mon goût, puisqu'elle traitait de l'importance de la formation en matière de sécurité informatique. L'informatique étant tellement présente dans notre vie de tous les jours qu'il est nécéssaire d'apprendre les bonnes pratiques de protection à tous.

Cette formation doit d'abord passer par la sensibilisation à tous les niveaux de la sécurité (logicielle, hardware, physique et organisationnelle) de tous :

  • du grand public
  • de tous les professionnels (TPE, PME, ...)
  • de tous les ingénieurs
  • de tous les informaticiens
  • de tous les experts SSI

Cette sensibilisation doit commencer au plus tôt, aux alentours du collège ou du lycée, en commencant par la programmation, la culture SI, mais aussi et surtout par la formation des profs, qui ont rarement un bon niveau d'informatique. De même, Ludovic Mé se posait la question de l'importance de l'informatique en classes préparatoires (et même en L3).

Le redressement productif il vient de mecs qui maitrîse les maths, la physique ou l'informatique ?

Enfin, il ne faut pas former qu'à la défense et aux concepts de base de la sécurité. Le Livre Blanc autorisant aujourd'hui des contres-attaques proportionnées aux attaques reçues. Cependant, cette formation à l'attaque doit être maitrisée, et doit être faite conjointement à des instructions sur l'éthique.

 

J'ai beaucoup aimé cette conférence, même si la première partie sur la détection était (à mon goût) un peu moins intéressante. Mais cela vient peut être du fait que je bosse dans les IDS et donc que ce n'était pour moi que des redite. Sinon, c'est vrai qu'il est plutôt bon de parler un peu des IDS dans des conférences plutôt portées sur l'attaque!

Par contre, la dernière partie sur la formation était excellente et concluait très bien le SSTIC puisqu'elle soulevait énormément de questions!

 

On pourra également noter l'intervention de Fred Raynal en fin de conférence :

Je te dis ça de vieux con à vieux con... Enfin, je suis un peu moins vieux, mais un peu plus con! [...]

Dernière journée, dernières présentations courtes au SSTIC 2013!

Détection comportementale de malwares P2P par analyse réseau

Slides

Afin de permettre une meilleure détection des malwares P2P qui sont de plus en plus répandus depuis quelques temps, l'orateur présente une "nouvelle" méthode qui consiste non plus à détecter un malware par sa signature au niveau du système, mais plutôt d'offrir une détection plus générique au niveau du réseau, puisque des communications entre clients P2P sont différentes des communications purement client-serveur dans le cas de clients dialoguant uniquement avec leur C&C.

Attestation distante d'intégrité avec Android

Cette conférence a été inspirée par un problème simple rencontré par beaucoup de personnes. Quand on dort à l'hôtel et qu'on sort manger en laissant son ordinateur dans sa chambre, comme savoir, en revenant, qu'il n'a pas été modifié par quelqu'un (cf ce tweet ;-)).

Pour détecter ces changements, on utilise un TPM (ou Trusted Platform Module), ici sous la forme d'un smartphone Android. Au moment d'allumer son PC, on branche le TPM au PC, qui va prouver son identité et prouver qu'il n'a pas été modifié au smartphone. Les détails d'implémentation seront disponibles dans les slides.

Le rôle des hébergeurs dans la Détection de Sites Web Compromis

Slides

Pour vérifier si les hébergeurs Web proposant des hébergements mutualisés prennent en compte la sécurité de leurs clients, des gentils pirates ont décidé de mettre en ligne sur une dizaine d'hébergeurs mutualisés différents des applications web trouées, puis de les attaquer.

Au final très peu d'entre eux détectent que des attaques sont en cours sur leurs plateformes et donc réagissent pour protéger leur(s) client(s). Pour aller plus loin ils ont même déposé des plaintes auprès des hébergeurs contre leurs propres sites (sur des versions propres) et soit ils ne recevaient pas de réponses, soit les sites étaient coupés sans plus de vérifications.

Dernière journée, dernières présentations courtes au SSTIC 2013!

Détection comportementale de malwares P2P par analyse réseau

Slides

Afin de permettre une meilleure détection des malwares P2P qui sont de plus en plus répandus depuis quelques temps, l'orateur présente une "nouvelle" méthode qui consiste non plus à détecter un malware par sa signature au niveau du système, mais plutôt d'offrir une détection plus générique au niveau du réseau, puisque des communications entre clients P2P sont différentes des communications purement client-serveur dans le cas de clients dialoguant uniquement avec leur C&C.

Attestation distante d'intégrité avec Android

Cette conférence a été inspirée par un problème simple rencontré par beaucoup de personnes. Quand on dort à l'hôtel et qu'on sort manger en laissant son ordinateur dans sa chambre, comme savoir, en revenant, qu'il n'a pas été modifié par quelqu'un (cf ce tweet ;-)).

Pour détecter ces changements, on utilise un TPM (ou Trusted Platform Module), ici sous la forme d'un smartphone Android. Au moment d'allumer son PC, on branche le TPM au PC, qui va prouver son identité et prouver qu'il n'a pas été modifié au smartphone. Les détails d'implémentation seront disponibles dans les slides.

Le rôle des hébergeurs dans la Détection de Sites Web Compromis

Slides

Pour vérifier si les hébergeurs Web proposant des hébergements mutualisés prennent en compte la sécurité de leurs clients, des gentils pirates ont décidé de mettre en ligne sur une dizaine d'hébergeurs mutualisés différents des applications web trouées, puis de les attaquer.

Au final très peu d'entre eux détectent que des attaques sont en cours sur leurs plateformes et donc réagissent pour protéger leur(s) client(s). Pour aller plus loin ils ont même déposé des plaintes auprès des hébergeurs contre leurs propres sites (sur des versions propres) et soit ils ne recevaient pas de réponses, soit les sites étaient coupés sans plus de vérifications.

(Par A. Dulaunoy)

Slides

Cette conférence fait elle aussi partie de mon TOP. Même si je ne suis pas très balèze dans le domaine des malwares, j'ai tout compris très simplement et en plus Alexandre Dulaunoy (membre d'un CERT Luxembourgeois) est un très bon orateur.

Il a voulu ici, contrairement aux autres orateurs, donner des conseils aux auteurs de malwares, plutôt que simplement casser leur boulot comme le font bien souvent les conférenciers.

Il est parti d'un constat simple : aujourd'hui dans les OS récents, une application doit être signée pour pouvoir être lancée en toute confiance sur le système. À partir de là, il commence à donner plusieurs conseils aux auteurs de malwares.

Premier conseil : puisque vos malwares doivent être signés, essayez de les signer. Il y a dans le monde plus de 600 autorités de certification (ou AC ou CA) et sous-autorités de certification. Au vu de la quantité on peut raisonnablement penser qu'il existe des failles permettant de récupérer la clé privée d'une de ces AC pour signer son malware.

Deuxième conseil : Au lieu de voler d'utiliser des signatures "illégitimes", autant en utiliser une presque vraie. Il est possible d'usurper un sous-domaine d'un domaine certifié, pour se faire certifier grâce à la chaîne de confiance entre certificats.

Mais sinon, on peut faire encore mieux ! Pour cela, il faut un peu comprendre le principe de vérification des signatures dans Windows. Ce principe est simple : on vérifie si le binaire chargé est signé, et après Basta!, on le laisse faire ce qu'il veut.

Donc si on veut écrire un bon malware, on a juste à écrire une DLL qui va charger notre petit code hostile. Ensuite on donne cette DLL à manger à une autre DLL ou à un exécutable Windows signé qui utilise la fonction LoadLibrary (pour charger la DLL). Il y aurait plus de 900 DLL vulnérables à cette attaque dans les derniers Windows.

(Par A. Dulaunoy)

Slides

Cette conférence fait elle aussi partie de mon TOP. Même si je ne suis pas très balèze dans le domaine des malwares, j'ai tout compris très simplement et en plus Alexandre Dulaunoy (membre d'un CERT Luxembourgeois) est un très bon orateur.

Il a voulu ici, contrairement aux autres orateurs, donner des conseils aux auteurs de malwares, plutôt que simplement casser leur boulot comme le font bien souvent les conférenciers.

Il est parti d'un constat simple : aujourd'hui dans les OS récents, une application doit être signée pour pouvoir être lancée en toute confiance sur le système. À partir de là, il commence à donner plusieurs conseils aux auteurs de malwares.

Premier conseil : puisque vos malwares doivent être signés, essayez de les signer. Il y a dans le monde plus de 600 autorités de certification (ou AC ou CA) et sous-autorités de certification. Au vu de la quantité on peut raisonnablement penser qu'il existe des failles permettant de récupérer la clé privée d'une de ces AC pour signer son malware.

Deuxième conseil : Au lieu de voler d'utiliser des signatures "illégitimes", autant en utiliser une presque vraie. Il est possible d'usurper un sous-domaine d'un domaine certifié, pour se faire certifier grâce à la chaîne de confiance entre certificats.

Mais sinon, on peut faire encore mieux ! Pour cela, il faut un peu comprendre le principe de vérification des signatures dans Windows. Ce principe est simple : on vérifie si le binaire chargé est signé, et après Basta!, on le laisse faire ce qu'il veut.

Donc si on veut écrire un bon malware, on a juste à écrire une DLL qui va charger notre petit code hostile. Ensuite on donne cette DLL à manger à une autre DLL ou à un exécutable Windows signé qui utilise la fonction LoadLibrary (pour charger la DLL). Il y aurait plus de 900 DLL vulnérables à cette attaque dans les derniers Windows.

07 Juin 2013 à 20:00

SSTIC 2013 Jour #3 via Quack1

Troisième et dernière journée du SSTIC 2013, mais surtout lendemain du Social Event, donc un peu fatigué :p

Fuzzing Intelligent d'XSS (par F. Duchene)

Slides

Pour être honnête avec vous, je n'ai pas tout compris (dans le détail), mais j'ai un peu compris le principe.

En fait, le doctorant a utilisé des fonctions génétiques et d'autres choses du genre utilisées en Intelligence Artificielle pour déterminer avec plus de précision quels payloads XSS envoyer.

Pour plus de détails, je ne peux que vous conseiller de vous réferer au papier ou aux slides.

Fingeprinting de navigateurs via XSS (par E. Abgrall)

Slides ~ Outil ~ Sources

J'ai trouvé cette conférence assez intéressante. Galadrim montre comment il utilise des payloads XSS dans des pages Web pour déterminer le navigateur utilisé. Pour cela, il a une liste complète de payloads reconnus par un ou plusiers navigateurs, et suivant le nombre de payloads qui fonctionnent, on peut déterminer quel navigateur fait tourner la page.

Duqu contre Duqu (par A. Thierry)

Slides

Ici, les chercheurs ont utilisé Duqu (un malware possédant pas mal de code en commun avec Stuxnet) pour détecter... Duqu!

Il l'ont reversé, enlevé le code malveillant, puis ils l'ont lancé afin qu'il se détecte plus simplement. Mais pourquoi faire ça ? Si j'ai bien compris, c'était pour que le soft possède ses clés de chiffrement et puisse détecter plus facilement dans la mémoire son alter-ego maléfique.

Disclaimer : Je suis peut être complètement à côté de la plaque, mais ce n'est pas mon domaine de prédilection et j'ai un peu lâché en cours de route...

La TEE, nouvelle ligne de défense dans les mobiles (par H. Sibert)

Slides

La TEE, ou Trusted Execution Environment, est un système développé par ST Ericson pour augmenter la sécurité des mobiles.

La TEE est en fait une sorte de sandbox, entre l'OS et les données sensibles. Toutes les fonctions sensibles (comme le stockage ou les accès à la SIM) sont lancées dans la TEE pour éviter d'être corrompues par des failles dans les apps ou le kernel et l'OS. En plus de cette sandbox, la TEE intègre la gestion des clés, un Secure Boot et des mécanismes d'isolation du code et des données.

Mais je dois quand même avouer que je suis un peu mitigé sur cette prez.

J'ai bien aimé la présentation technique "globale" des systèmes de TEE, mais je trouve que le reste a été un peu trop tourné sur leur produit. J'avais un peu l'impression d'être à une conf. commerciale pour acheter chez Sony.

Sinon, on a bien trollé sur Twitter, puisque les deux "premières fonctions populaires implémentées" dans leur TEE sont "le SIMLock et la gestion des DRM"...

La réponse aux incidents, ou quelques recommendations pratiques pour les auteurs de malwares (par A. Dulaunoy) Présentations courtes Faire face aux cybermenaces => détecter (les attaques) et former (des experts en SSI) (par L. Mé)
07 Juin 2013 à 20:00

SSTIC 2013 Jour #3 via Quack1

Troisième et dernière journée du SSTIC 2013, mais surtout lendemain du Social Event, donc un peu fatigué :p

Fuzzing Intelligent d'XSS (par F. Duchene)

Slides

Pour être honnête avec vous, je n'ai pas tout compris (dans le détail), mais j'ai un peu compris le principe.

En fait, le doctorant a utilisé des fonctions génétiques et d'autres choses du genre utilisées en Intelligence Artificielle pour déterminer avec plus de précision quels payloads XSS envoyer.

Pour plus de détails, je ne peux que vous conseiller de vous réferer au papier ou aux slides.

Fingeprinting de navigateurs via XSS (par E. Abgrall)

Slides ~ Outil ~ Sources

J'ai trouvé cette conférence assez intéressante. Galadrim montre comment il utilise des payloads XSS dans des pages Web pour déterminer le navigateur utilisé. Pour cela, il a une liste complète de payloads reconnus par un ou plusiers navigateurs, et suivant le nombre de payloads qui fonctionnent, on peut déterminer quel navigateur fait tourner la page.

Duqu contre Duqu (par A. Thierry)

Slides

Ici, les chercheurs ont utilisé Duqu (un malware possédant pas mal de code en commun avec Stuxnet) pour détecter... Duqu!

Il l'ont reversé, enlevé le code malveillant, puis ils l'ont lancé afin qu'il se détecte plus simplement. Mais pourquoi faire ça ? Si j'ai bien compris, c'était pour que le soft possède ses clés de chiffrement et puisse détecter plus facilement dans la mémoire son alter-ego maléfique.

Disclaimer : Je suis peut être complètement à côté de la plaque, mais ce n'est pas mon domaine de prédilection et j'ai un peu lâché en cours de route...

La TEE, nouvelle ligne de défense dans les mobiles (par H. Sibert)

Slides

La TEE, ou Trusted Execution Environment, est un système développé par ST Ericson pour augmenter la sécurité des mobiles.

La TEE est en fait une sorte de sandbox, entre l'OS et les données sensibles. Toutes les fonctions sensibles (comme le stockage ou les accès à la SIM) sont lancées dans la TEE pour éviter d'être corrompues par des failles dans les apps ou le kernel et l'OS. En plus de cette sandbox, la TEE intègre la gestion des clés, un Secure Boot et des mécanismes d'isolation du code et des données.

Mais je dois quand même avouer que je suis un peu mitigé sur cette prez.

J'ai bien aimé la présentation technique "globale" des systèmes de TEE, mais je trouve que le reste a été un peu trop tourné sur leur produit. J'avais un peu l'impression d'être à une conf. commerciale pour acheter chez Sony.

Sinon, on a bien trollé sur Twitter, puisque les deux "premières fonctions populaires implémentées" dans leur TEE sont "le SIMLock et la gestion des DRM"...

La réponse aux incidents, ou quelques recommendations pratiques pour les auteurs de malwares (par A. Dulaunoy) Présentations courtes Faire face aux cybermenaces => détecter (les attaques) et former (des experts en SSI) (par L. Mé)

Pages