vendredi 5 juin 2009

[SSTIC 2009] Day 3

Troisième et dernière journée. Il manque pas mal de gens à 9h15 ... et même à 13h. On peut en déduire que le social event s'est bien passé :) Une petite pensée aux collègues qui ont tourné pendant trois heures dans Rennes pour trouver des strip-teaseuses ... en vain ;)


Matinée

J'ai bien aimé cette matinée qui a commencé par une conférence sur les XSS , présentée par Pierre GARDENAT. L'objectif est ici de montrer les conséquences possibles de ces failles. Déjà, OWASP - dont nous avons déjà parlé sur ce blog - classe ce type de vulnérabilités dans ses top vulnérabilités. J'ai bien aimé l'exemple du site mySpace où on marque de ne pas taper les balises scripts. Ouais mais on est des rebeeels ! Bonne conf dans l'ensemble avec des résultats sans équivoque mais j'aurais bien aimé qu'on détaille plutôt les attaques sous jacentes comme le DNS rebinding et le click jacking. Cette dernière attaque est cependant expliquée par XMCO partners ici.

Nous continuons avec une présentation d'un petit gars de chez nous. Il doit s'appeler Fred RAYNAL je crois ou quelque chose comme ça ;) Alors il s'agit ici de montrer qu'après avoir décrié les éditeurs de texte Microsoft, puis OpenOffice, on s'attaque maintenant aux PDFs. Alors des présentations ont déjà été faites comme on peut le voir ici. En tant qu'exemple, on voit comment nous arrivons a tirer partie des failles relevées sur ce format de fichier pour récupérer les hashes windows de la machin. De plus, Fred nous frounit ici d'e nouvelles pistes en cours d'exploitation car il s'avère que le sujet est vaste. Snif, même PDF n'est pas sûr.

Quant à la troisième conf, j'ai beaucoup apprécié aussi : il s'agissait du projet macaron à télécharger ici dont l'auteur est Philippe PRADOS. C'est un programme malicieux qui s'utilise en tant que backdoor dans une application J2EE (ex ; JBOss, JoNAS, etc ...). Nous avons déjà traité ce genre de sujet sur ce blog et mon petit doigt me dit qu'on en entendra encore parlé prochainement ... La valeur ajoutée de l'outil présenté est :
  • qu'il apour but d'être furtif et apparemment, ça marche ;
  • les commandes proposées nativement par la backdoor sont nombreuses ;
  • des fonctions d'audits ont l'air intéressantes. En tout cas, l'idée est bonne.
Je rajoute dans ma liste de tool à tester suite au SSTIC.

On continue avec un autre tool qui me paraît lui aussi intéressant : IpMORPH par Guillaume PRIGENT. Le but de cet outil est de dérouter les solutions de fingerprinting actives et passives en fournissant de faux résultats au niveau OS (ex : une OpenBSD à la place d'un Linux). Un début de présentation longuet avec des beaux powerpoints mais qui n'apporte pas grand chose. La suite est bien mieux et les résultats tout à fait satisfaisant. Les démonstrations ont porté sur nmap, ring2, p0f et SinFP qui sont largement répandus. Je me demande cependant ce que cela aurait donné avec des outils plus pointus comme AMAP et si des tests ont été réalisés avec nessuscmd ?

J'aurais bien aimé vous parler des deux dernières confs de la matinée (analyse dynamique depuis l'espace noyau avec le projet Kolumbo et GPGPU pour la cryptographie) mais j'ai un peu décroché, non pas que les présentations n'étaient pas intéressantes, c'est juste que j'accusais le coup des 8 heures de sommeil ... en 2 nuits. En même temps, ça peu paraître beaucoup pour certains : Ok Alexandre et Yann, -100 au geek scoring :)

Après-midi

L'après-midi était courte avec deux présentations seulement : ça sent déjà la fin :' Nous commençons avec une présentation de Martin Vugnoux sur "les émanations compromettantes électromagnétiques des claviers filiaires". On note de super slides ;) Et blague mise à part, une présentation rondement menée et accrocheuse. Le speaker nous montre qu'après avoir capté les signaux avec une super antenne et après avoir compris comment ça marchait, on arrive à connaître le caractère tapé sur le clavier à distance. On ne va pas y aller par 4 chemins, ça semble marcher sur tous les supports clavier sans fil, de PDA et voire autres machines à clavier mais l'auteur nous laisse dans le suspens, mystère ! Quant à la pratique des attaques, on arrive à agir de 5 à plusieurs dizaines de mètres selon le support ciblé et les conditions de tests. Bien joué Martin !

Pour terminer, la conférence invitée par D. Chanderis. Là, on sent la personne qui a de la bouteille ;) Et ce n'est pas péjoratif, au contraire. On sent la personne cultivée et surtout humaine et pourtant, elle travaille depuis des années dans la SSI : tout n'est peut être pas encore perdu ; on n'est peut être pas encore dans la matrice !!!
L'idée est de dire, qu'il faut croire en les valeurs humaines et non sans provocation que l'humain est le maillon fort ! Alors effectivement, ce genre de propos fait réagir car je ne pense pas être le seul à prendre en compte le facteur humain dans les préconisations d'audit. Il joue un rôle plus qu'essentiel dans le SI et forcément, on lui trouve des faiblesses. Un exemple que j'ai en tête, c'est de stocker en clair des mots de passe (très) important sur sa machine. Alors on me répondrait qu'on avait qu'à chiffrer son disque. Je crois qu'on peut jouer au chat et à la souris et devant une telle personne, je fais preuve d'humilité, je m'incline. Ce que je cherche à dire cependant à travers cet exemple, c'est que nous avons certainement des idées préconçues (et même, je n'en doute pas) mais il reste certaines choses difficiles à accepter (comme dire que l'humain peut représenter le maillon fort donc). Peut-être s'agit-il seulement de laisser le temps à la réflexion mais comme dit mon philosophe préféré à moi, "l'important, c'est d'y croire".


Je terminerai en disant que je n'ai pas été déçu cette année par le SSTIC, au contraire et je vous invite à vous rendre sur le site d'une personne qu'on ne présente plus ici.

Il ne me reste plus qu'à vous dire à l'année prochaine ... j'espère ;)

5 commentaires:

Guillaume PRIGENT a dit…

AMAP est dans la catégorie "fingerprint grabber", que nous ne couvrons pas dans IpMorph. On fais "juste" de la mystification de pile TCP/IP (pas au dessus). Le finger print banner et la mystification d'application en générale c'est pour IpMorph Reloaded...
Pour nessuscmd, on l'a pas fait non plus, je voulais prendre les plus connus pour que cela "parle".

Jer001 a dit…

Merci Guillaume pour ces précisions. Et vivement IpMorph Reloaded alors ;)

Anonyme a dit…

interessant ce site
dommage pas de contact ....

Jer001 a dit…

Merci.
Vous pouvez trouver un moyen de me contacter sur mon site web (encore en chantier ! ;) : http://mission-security.net, onglet "missions".
Ou par mail directement : jer001 sur le même domaine.

Greg a dit…

Site très intéressant et didactique.
Merci pour le compte-rendu du SSTIC très sympa.
Bonne continuation en espérant de nouveaux posts bientôt ;)

Locations of visitors to this page