[SSTIC 2009] Day 3

Troisième et dernière journée. Il manque pas mal de gens à 9h15 ... et même à 13h. On peut en déduire que le social event s'est bien passé :) Une petite pensée aux collègues qui ont tourné pendant trois heures dans Rennes pour trouver des strip-teaseuses ... en vain ;)

Matinée

J'ai bien aimé cette matinée qui a commencé par une conférence sur les XSS , présentée par Pierre GARDENAT. L'objectif est ici de montrer les conséquences possibles de ces failles. Déjà, OWASP - dont nous avons déjà parlé sur ce blog - classe ce type de vulnérabilités dans ses top vulnérabilités. J'ai bien aimé l'exemple du site mySpace où on marque de ne pas taper les balises scripts. Ouais mais on est des rebeeels ! Bonne conf dans l'ensemble avec des résultats sans équivoque mais j'aurais bien aimé qu'on détaille plutôt les attaques sous jacentes comme le DNS rebinding et le click jacking. Cette dernière attaque est cependant expliquée par XMCO partners ici.

Nous continuons avec une présentation d'un petit gars de chez nous. Il doit s'appeler Fred RAYNAL je crois ou quelque chose comme ça ;) Alors il s'agit ici de montrer qu'après avoir décrié les éditeurs de texte Microsoft, puis OpenOffice, on s'attaque maintenant aux PDFs. Alors des présentations ont déjà été faites comme on peut le voir ici. En tant qu'exemple, on voit comment nous arrivons a tirer partie des failles relevées sur ce format de fichier pour récupérer les hashes windows de la machin. De plus, Fred nous frounit ici d'e nouvelles pistes en cours d'exploitation car il s'avère que le sujet est vaste. Snif, même PDF n'est pas sûr.

Quant à la troisième conf, j'ai beaucoup apprécié aussi : il s'agissait du projet macaron à télécharger ici dont l'auteur est Philippe PRADOS. C'est un programme malicieux qui s'utilise en tant que backdoor dans une application J2EE (ex ; JBOss, JoNAS, etc ...). Nous avons déjà traité ce genre de sujet sur ce blog et mon petit doigt me dit qu'on en entendra encore parlé prochainement ... La valeur ajoutée de l'outil présenté est :

• qu'il apour but d'être furtif et apparemment, ça marche ;
• les commandes proposées nativement par la backdoor sont nombreuses ;
• des fonctions d'audits ont l'air intéressantes. En tout cas, l'idée est bonne.

Je rajoute dans ma liste de tool à tester suite au SSTIC.

On continue avec un autre tool qui me paraît lui aussi intéressant : IpMORPH par Guillaume PRIGENT. Le but de cet outil est de dérouter les solutions de fingerprinting actives et passives en fournissant de faux résultats au niveau OS (ex : une OpenBSD à la place d'un Linux). Un début de présentation longuet avec des beaux powerpoints mais qui n'apporte pas grand chose. La suite est bien mieux et les résultats tout à fait satisfaisant. Les démonstrations ont porté sur nmap, ring2, p0f et SinFP qui sont largement répandus. Je me demande cependant ce que cela aurait donné avec des outils plus pointus comme AMAP et si des tests ont été réalisés avec nessuscmd ?

J'aurais bien aimé vous parler des deux dernières confs de la matinée (analyse dynamique depuis l'espace noyau avec le projet Kolumbo et GPGPU pour la cryptographie) mais j'ai un peu décroché, non pas que les présentations n'étaient pas intéressantes, c'est juste que j'accusais le coup des 8 heures de sommeil ... en 2 nuits. En même temps, ça peu paraître beaucoup pour certains : Ok Alexandre et Yann, -100 au geek scoring :)

Après-midi

L'après-midi était courte avec deux présentations seulement : ça sent déjà la fin :' Nous commençons avec une présentation de Martin Vugnoux sur "les émanations compromettantes électromagnétiques des claviers filiaires". On note de super slides ;) Et blague mise à part, une présentation rondement menée et accrocheuse. Le speaker nous montre qu'après avoir capté les signaux avec une super antenne et après avoir compris comment ça marchait, on arrive à connaître le caractère tapé sur le clavier à distance. On ne va pas y aller par 4 chemins, ça semble marcher sur tous les supports clavier sans fil, de PDA et voire autres machines à clavier mais l'auteur nous laisse dans le suspens, mystère ! Quant à la pratique des attaques, on arrive à agir de 5 à plusieurs dizaines de mètres selon le support ciblé et les conditions de tests. Bien joué Martin !

Pour terminer, la conférence invitée par D. Chanderis. Là, on sent la personne qui a de la bouteille ;) Et ce n'est pas péjoratif, au contraire. On sent la personne cultivée et surtout humaine et pourtant, elle travaille depuis des années dans la SSI : tout n'est peut être pas encore perdu ; on n'est peut être pas encore dans la matrice !!!
L'idée est de dire, qu'il faut croire en les valeurs humaines et non sans provocation que l'humain est le maillon fort ! Alors effectivement, ce genre de propos fait réagir car je ne pense pas être le seul à prendre en compte le facteur humain dans les préconisations d'audit. Il joue un rôle plus qu'essentiel dans le SI et forcément, on lui trouve des faiblesses. Un exemple que j'ai en tête, c'est de stocker en clair des mots de passe (très) important sur sa machine. Alors on me répondrait qu'on avait qu'à chiffrer son disque. Je crois qu'on peut jouer au chat et à la souris et devant une telle personne, je fais preuve d'humilité, je m'incline. Ce que je cherche à dire cependant à travers cet exemple, c'est que nous avons certainement des idées préconçues (et même, je n'en doute pas) mais il reste certaines choses difficiles à accepter (comme dire que l'humain peut représenter le maillon fort donc). Peut-être s'agit-il seulement de laisser le temps à la réflexion mais comme dit mon philosophe préféré à moi, "l'important, c'est d'y croire".


Je terminerai en disant que je n'ai pas été déçu cette année par le SSTIC, au contraire et je vous invite à vous rendre sur le site d'une personne qu'on ne présente plus ici.

Il ne me reste plus qu'à vous dire à l'année prochaine ... j'espère ;)

[SSTIC 2009] Day 2

ça continue pour cette deuxième journée. Déjà, certains ont du mal à se lever pour la première conf. de la journée. Bon, l'objectif est de faire un post moins long que pour le jour 1 !

Matinée

Une matinée dédiée au fuzzing ! En guise d'introduction, on commence avec une conf. d'Ari TAKANEN, Finlandais. Il nous explique sa vision sur le sujet : "Fuzzing : le passé, le présent et le futur". Ici, le but, c'est pas de montrer des vulns mais vraiment de voir les techniques de fuzzing et l'évolution de cette technique. Pour savoir quelle technique est la meilleure ou quelle sera celle qui nous conviendra le mieux, il faut prendre en compte trois critères :

• les fonctionnalités offertes par le fuzzer ;
• sa robustesse ;
• ses performances.

L'idée est ici de considérer le modèle de fuzzing (mutation, pre-generated/scripted, block based, model based). Aussi, on souhaite ici se coller au fuzz en cours et l'automatiser au mieux. Par exemple, on cherchera à tenir compte des spécificités du protocole audité. Pour terminer, Ari nous propose une checklist pour choisir ou concevoir son fuzzer.

La deuxième conf est proposée par Gabriel CAMPANA. Elle fait la transition avec la précédente en présentant l'outil "Fuzzgrind". Ce dernier repose sur deux tools existants : Valgrind et STP. L'idée est que pour chaque nouveau protocole, c'est long de refaire son fuzzer. C'est là que Fuzzgrind arrive. Cet outil va travailler selon les 3 étapes suivantes :

• exécution symbolique du programme audité ;
• prise en compte des conditions (tous les cas) ;
• création d'une équation pour chacune de ces conditions.

Des améliorations sont en cours mais déjà, l'outil a déjà trouvé des vulnérabilités dans des programmes comme readelf et swfextract ... en moins d'une heure ! Bravo !

La dernière conf sur ce thème du fuzzing est présentée par Laurent BUTTI. On s'attaque maintenant - dans le contexte d'une "architecture de convergence fixe-mobile" - à des protocoles dits de sécurité comme IKEv2 ou EAP . Et là où ça commence à faire peur, c'est qu'on trouve des failles là aussi ... En réalité ces protocoles apparaissent comme sûrs mais l'idée à retenir, c'est qu'il ne faut pas négliger les points sensés être sécurisés pendant les tests de tout genre car les failles vont provenir de l'ingénierie réseau et de l'implémentation de ses protocoles. En résumé, "don't trust any(one|thing)" ... (Source : Mulder dans X-Files ;).

On enchaîne avec la présentation de Romain RABOIN sur la sécurité des smartphones. Le speaker nous donne d'abord une vue d'ensemble des 4 OS les plus répandus sur le marché (Symbian, iPhone, RIM Blackberry et Windows Mobile). on va faire court : il existe des failles pour tous et il est possible d'espionner les données (appels, voix, ...) via des logiciels appropriés. on se focalise ici sur Windows Mobile et on essaie d'injecter le logiciel espion (un fichier *.cab). A priori, nous avons besoin d'un accès physique au téléphone, le temps d'injecter le programme. Ensuite, on peut agir à distance. Pour éviter cette nécessité, d'accès au téléphone de la victime, plusieurs solutions passent en revue et la gagnante consiste à utiliser le poste de travail avec qui le smartphone se synchronise. Le schéma est alors simple :

• avoir un accès au poste de travail de l'utilisateur (ça n'a jamais posé problème) ;
• programmer la synchronisation du logiciel espion avec le smartphone ;
• c'est tout !

Il faut quand même savoir que notre programme malicieux n'est pas signé. une popup pourrait donc avertir d'utilisateur de son installation. Mais la modification (via rapi) d'une stratégie de sécurité permet de remédier à ce problème ;)

Pour la conf suivante, on change vraiment de sujet pour parler de watermarking avec Teddy FURON dans une présentation intitulée "le traçage de traitre en multimedia". Comme le titre l'indique, il s'agit de retrouver le ou les personnes coupables d'avoir effectuer une copie illégale d'un multimédia propriétaire (ouh ... pas bien !). Le défi est que les résultats puissent être suffisamment probants pour servir de preuve juridique. On se rend compte que ce n'est pas simples mais que le tatouage donne de bons résultats en se basant sur les faiblesses de la perception humaine (visuelle et sonore). Au final, on remarque que si le fichier n'a pas été trop dégardé par les pirates, nous pourrons retrouver les attaquants en estimant des probabilités sur leur culpabilité.

La dernière conf de la matinée est présentée par Marie BAREL, juriste attitrée du SSTIC ;) Elle nous présente un cas concret et que nous sommes amener à auditer régulièrement : le vol d'information par un stagiaire (ce que nous simulons pendant un pentest interne en l'occurrence). Les définitions du vol fournies par les lois françaises ne tiennent pas en compte des données numérique car :

• par vol, il devrait y avoir "soustraction" or un vol d'information n'implique pas que l'entreprise touchée n'a plus à ses dispositions les données volées ;
• par vol, on s'attend à voler un objet or les infomations représentent un objet "immatériel".

On voit qu'il est difficile de se protéger des vols d'information par les employés. Néanmoins, les chartes utilisateurs et NDA sont des premiers pas vers la protection. Il faut savoir aussi que l'employé a "obligation de loyauté" envers son employeur. Il n'empêche qu'une étude américaine affirme que 59% des employés vole des données avant de partir de la compagnie. Malheureusement, le contrat de travail ne prévoit pas toujours la confidentialité des informations après le départ d'une personne (même sur une durée limitée). Pire, le vol d'information est souvent repéré bien tard et la personne est certainement partie depuis ... Pire encore : qui a déjà vu une société où tous les accès (logiques et physiques) ont été correctement désactivés au départ d'une personne ?
En résumé, la loi n'est pas toujours adaptée au monde numérique et en voici la preuve. Cela a pour conséquence des brèches dont les coupables tenteront de se servir.
Pour terminer, je reprends les tois mots de la fin du speaker : "responsabilisation, communication et contrôle".

Après-midi

On commence avec Nicolas RUFF avec "Pourquoi la sécurité est un échec". Le titre annonce la couleur et avec la prés., on a presque envie de déprimer parce la sécurité, c'est notre raison de vivre (surtout si on n'a pas de vie sociale à côté ! :) mais on apprendra pendant les rump sessions qu'il existe des "copine de geek", OUF !) Bon, les problèmes majeurs datent d'il y a 30 ans selon notre speaker (Internet, langage C, ...) : OUF, je n'étais pas né, c'est pas de ma faute !!! J'arrête de déprimer et me dis que je vais quand même à faire de la sécu !
Lors de sa présentation, Nicolas nous montre les grosses failles Windows qui ont eu lieu et auxquelles il a participé et pas vraiment du neuf au final. On ne peut que confirmer que les environnements Windows sont prenables en tests internes. On explique dans la conf. le manque de prévention dans la sécurisation des SI par les entraprises et malheureusement, elles finissent par en payer les conséquences ... Reste à convaincre ces entreprises de payer "au cas où" ... Sinon, je propose qu'on prenne une comm' de 1% à chaque fois qu'on avait prévenu la boîte du problème en cours et qu'aucune correction n'a été apportée ...

Avant les rumps, on a eu des présentations de projets ayant pour but la sécurisation d'un OS pour un utilisateur lambda qui doit être capable d'effectuer toutes les opérations de bureautique classiques (mail, traitement de texte, e-commerce, ...) : c'est le projet SEC&SI. Les trois projets ont des approches différentes mais intéressantes. On retrouve les principes de serveurs mandataires, de sandbox, de hardening, etc. Pas de pronostic pour le moment mais on est obligé de marquer dans nos annales du SSTIC que "sh, ça nous a bien fait shourrir" :))

Quant aux rumps, on avait de tout. En tant qu'auditeur, j'ai surtout noté les outils IMA, reconet, evalSMSI et Netifera que je testerai dès que possible et même pourquoi pas, d'en faire un post.

PS : raté, je n'ai pas réussi à faire un post plus court qu'hier ; je retente demain !

[SSTIC 2009] Day 1

Premier jour de conf pour l'édition 2009. On retrouve les mêmes, les meilleurs et ... les meilleurs ;) De bonnes confs en perspective. Alors malgré un passage obligé à la crêperie et au pub, je ne pouvais pas manquer de faire quelques commentaires sur mon blog ;)

Matinée

Bon, pour les 3 confs du matin, je vais résumer mieux que sur tous les autres blogs SSI, si si ! Écoutez : "Suite à un problème d'aiguillage à Massy, le train partira avec 20 minutes de retard + 50 minutes de retard car nous prendrons les voies classiques à la place des voies TGV" ...

Après-midi :

Projet WOMBAT :

L'après midi commence avec une conférence intitulée "Le point de vue d'un WOMBAT sur les attaques Internet" par M. DACIER, SYMANTEC.
Alors avant de commencer faut savoir qu'il cherche à recruter dans le sud de la France (mouais, bah il fait beau même en Bretagne ! ;)) et qu'il recherche des ressources pour y installer des "sensors". On explique tout ça :

La présentation se découpe en 3 parties :

• La collecte d'information ;
• L'analyse de l'information et l'enrichissement des données ;
• Les menaces causées par l'attaque.

On connaît les honeypots (ou "pots de miel") mais ici, c'est juste une des sources utilisées pour la collecte d'infos. En effet, ils utilisent aussi les crawlers et des flux externes. Les honeypots sont basés sur SGNET, la nouvelle génération de ce type de solution. SYMANTEC demande à des partenaires d'installer sur leur(s) machine(s) un "sensor" qui est une "entité logicielle" légère. Le but est que ces "sensors" soient les plus nombreux et les mieux répartis possibles dans le monde pour des résultats d'autant plus pertinents. Plus précisément, ces sensors disposent d'un automate à états finis (constitué des chemins d'attaque connus).
Afin que les personnes de la communauté WOMBAT récupère les données, ils disponsent d'une passerelle qui sert notamment de proxy anonymiseur pour ses partenaires qui envoient leurs données.
On arrive à la deuxième étape où on effectue une analyse des codes malicieux. On l'enrichit de données si on en dispose déjà. On retrouve deux cas d'attaque :

• les attaques connues qui seront facilement traitées et répertoriées ;
• les attaques non connues qui nécessitent d'analyser le shellcode de l'attaque (+ long !).

Malheureusement, la tendance étant à l'attaque ciblée, on se rend compte que les attaques non connues et spécifiques prennent de plus en plus d'importance.
Enfin, troisième étape : l'étude des menaces. On a vu de beaux graphiques et ça a l'air de fournir vraiment des résultats. En tout cas, de donner des éléments de réponses sur les caractéristiques des attaques en cours ou à venir. Par exemple, on a une vue sur les sources et cibles des attaques, leur mode opératoire, etc. et tout plein de stats.
Le projet est initialement prévu sur 3 ans et donc pas encore terminé. C'est pourquoi on attend d'autres résultats. Mais l'idée de départ et les moyens mis à disposition semblent être bons et prometteurs. Seulement, il faut que les données collectées soient :

• plus nombreuses ;
• pertinentes et arriver à trier les bonnes données malgré la quantité croissante ;
• trouver un moyen d'automatiser l'analyse de code malicieux pour les attaques non connues.

Donc, à suivre !

Les attaques physiques :

Alors des projets tout à fait louables se déroulent pour la mise en place de l'informatique de confiance. Très bien sauf que Loïc DUFLOT, speaker de la conférence "Quelles limites pour l'informatique de confiance", commence par nous montrer qu'en débranchant et en rebranchant 5 fois de suite le câble d'alimentation de sa machine, il passe root à partir d'un compte démo non privilégié ! Là, on commence à se demander ce qu'il se passe et tout devient plus clair dans la suite. Le problème, c'est que le BIOS n'est pas considéré à sa juste valeur. Malheureusement, on sait déjà les dégâts que cela peut faire. Outre le reboot de la machine par exemple avec un média amorçable, nous nous attaquons à un sujet plus complexe mais dont le résultat est sans équivoque. Alors pour résumer, L. DUFLOT va s'appuyer sur les routines de traitement de la SMI (System Management Interface) et les tables ACPI (Advanced Configuration and Power Interface). Les routines d'interruption ont des droits privilégiés et c'est de là que va venir l'escalade de privilèges. La démarche consiste à injecter un rootkit qui se lancera une fois qu'on actionnera telle routine physique (ex : débrancher le câble d'alimentation).
Dans le même ordre d'idée, la dernière conf de la journée, "Compromission physique par le bus PCI" de Christophe Devine et Guillaume Vissian nous fournit un POC d'accès DMA à l'aide d'une carte PCI ou Cardbus. Là encore, le résultat est au rendez-vous. Cette présentation venait à point dans la continuité de celle de Damien Aumaître, l'année dernière, sur l'accès DMA mais via le port firewire cette fois.

ISO 27001 :

Déjà, de l'orga au SSTIC ! ça fait plaisir aussi :) L'approche de la conférence, c'est de voir de manière objective (ou presque ;) à quoi sert l'ISO 27001 avec un retour d'expérience du speaker, Alexandre Fernandez-Toro. L'exposé était découpé en 5 questions :

• A quoi ça sert [l'ISO 27001] ?
• Est-ce que ça améliore vraiment la sécurité des systèmes d'information ?
• Comment reconnaître les compagnies qui veulent être certifiées pour le tampon et celles qui le souhaitent pour s'assurer qu'elles appliquent les bonnes pratiques en termes de SSI ?
• Quels sont les domaines impactés ?
• A quoi ça sert vraiment [l'ISO 27001] ?

C'était intéressant d'avoir un tel retour d'expérience et de se dire plusieurs fois, "ça j'ai vu". Notamment, le cas des entreprises qui rédigent les documents et effectuent les enregistrements juste avant l'audit. J'ai vu un cas où la boîte avait fait en sorte de retarder l'audit de 6 mois. Comme de par hasard, il y a eu un plein de choses mises en place les 6 derniers mois ... que c'est bizarre ! Non ? Regardons ce qu'il y avait eu de fait avant les 6 mois ... euh ... Je tiens un bon cas 1, un bon vainqueur même :)
La conclusion de la conférence, c'est que l'ISO 27001 apporte réellement une sécurité mais pas de la façon à laquelle on pourrait s'attendre a priori : La norme apporte vraiment aux compagnies qui ont déjà la volonté de faire de la sécurité. C'est un travail à long terme et c'est seulement ainsi que des résultats concrets pourront être obtenus. En l'occurrence, la norme permettra de rationnaliser, transversaliser et mutualiser la SSI de la compagnie. En fait, c'est déjà pas mal !
Regardez les failles que vous trouvez dans un test d'intrusion interne. Si vous creusez, vous vous rendez compte qu'il y a toujours une cause organisationnelle derrière : la machine n'est assignée à aucun administrateur, les administrateurs en charges sont 2 pour 8278182718105 machines, etc ... On comprend pourquoi la machine n'est pas patchée depuis X mois (qui a dit années ???) quand bien même on a un WSUS correctement installé. Par exemple, la transversalité permettra de couvrir la totalité du SI et évitera qu'une machine ne soit administrée ... que par elle-même !