Mon premier blog

Aller au contenu | Aller au menu | Aller à la recherche

SSTIC09, Day1

Par Vanhu le jeudi, juin 4 2009, 10:38 - En direct de la ou je suis - Lien permanent

Nous revoici donc au jour 1 des SSTIC 2009 (voir le billet d'en dessous si vous débarquez maintenant, vous pourriez quand meme faire un effort pour suivre, un peu.....) !

Arrivée sur site

L'arrivé s'est plutot bien passée, pour la première fois ou je tentais de retrouver la route comme un grand (jusqu'à présent, on était toujours venu en train), et après quelques cafouillages d'orga (moi, m'en fous, c'était mon nom sur la commande, j'ai pas eu de soucis ;-) ), le récupérage du Tshirt de l'évènement (pour se la péter grave en boite et draguer de la minette à donf.....) et du quintal d'actes de l'année, faut bien se décider à s'engouffrer avec tout le monde dans la grande salle.......

Ouverture

Comme tous les ans, c'est Fred qui fait le discours d'ouverture, sauf qu'il est carrément plus mignonne que dans mon souvenir des années précédentes:

aujourd'hui, Fred ressemblait à ca:

Celine


Alors que, dans mon souvenir des années précédentes, il ressemblait plutot à ca:

Fred

Comme quoi, des fois, suffit de se raser la barbe et de mettre un Tshirt moulant.....

Keynote: la sécurité dans les avions......

La keynote est un grand moment d'anthologie, puisqu'elle est faite par le responsable sécurité des avions chez Airbus, qui, évènements récents oblige, n'a du coup pas le droit d'utiliser ses slides, pas trop le droit d'évoquer les dits évènements, et fait donc un exercice de style hors norme en meublant 45 minutes, et en essayant de nous rassurer sur la sécurité des avions avec des petites phrases comme "un avion, c'est succeptible d'etre attaqué par un missile" ou "le Windows dans le cockpit, il sert seulement pour que le pilote passe le temps, récupère ses mails, etc....".

Ouf, je me sens mieux, d'autant que je rentre en voiture, de toutes facons.....

Evaluation de l'injection de code malicieux dans une Java Card

D'après un de mes assistants (oui, toujours venir à une conf avec au moins une autre personne, de préférence novice, qui n'osera pas broncher quand on lui dit de bien tout écouter et de faire un résumé après......), c'est "bien si on aime Java".


Autant vous dire que j'ai décroché au bout de 5 minutes, préférant aller entretenir le relationnel avec quelques autres personnes, eux aussi plus intéressées pour discuter IPv6 et autres trucs réseaux que Java dans embarqué dans des cartes à puces (oui, les petits machins de quelques centimètres carrés de surface).

C'était également le moment pour d'autres de se livrer à la méditation, profitant de la verdure environnante.....

HB


Kartoch, si tu lis ces lignes, t'avais qu'a etre aussi sur l'estrade et causer aussi, je serais resté ! ;-)

Utilisation du Data Tainting pour l'analyse de logiciels malveillants

Au bout de quelques slides, déjà, une définition du data tainting: "mécanisme permettant la tracabilité de la propagation d'une donnée sur un systeme d'information".... rien que ca !

Pour ceux qui nous diraient déjà "bah, faites tourner votre logiciel dans un environnement virtuel, c'est facile à observer", bah non. Comme nous l'explique le speaker, un environnement virtuel est souvent facile à détecter (plein d'options et de modes des CPUs, par exemple, ne sont jamais utilisés, donc ne sont pas implémentés dans les systèmes de virtualisation), et de nombreux logiciels malveillants testent ce genre de choses.


La, il s'agit manifestement d'étudier in vivo, sur une "vraie" machine, en interceptant les données lors de certains échanges mémoire (via un hook du MMU).


Effet démo....

Ah, première matinée, et déjà un gars qui ne sait pas qu'il ne faut JAMAIS faire une démo dans une conf......

  • D'abord, ca casse le rythme, ca endort le public, surtout quand la démo n'est pas instantanée (ce qui est le cas ici, avec un "on va patienter un peu" suivit d'un grand moment de solitude pour le speaker.....).
  • Ensuite, les gens ne comprennent généralement pas l'intéret de la démo, ou alors auraient été au moins autant impressionnés par des captures d'écran prises à l'avance (voire des montages photoshop.....).
  • Enfin, il y a une fois sur deux un "effet démo", la, en l'occurence, en pleine démo on a eu droit à un "et la on voit qu'on a rien d'intéressant".....

Pour autant, l'idée du truc est plutot sympa, ca vaudra une lecture des actes lors d'une longue soirée d'hiver....

Désobfuscation automatique de binaire

Franchement, on appelle ca un "marronier".
Tous les ans, au SSTIC, y'a une ou deux confs sur ce sujet.
Tous les ans, on voit effectivement de la nouveauté, c'est pas le souci.
Mais tous les ans, on voit encore et encore les mêmes arbres d'appels, les mêmes slides qui montrent "avant / après", avec un arbre d'appels monstrueux qui finalement se réduisent à que dalle.

Ca reste impressionnant, et je suis convaincu qu'ils font effectivement des progrès tous les ans, mais bon, c'est un peu comme Rambo V: on sait déjà dans les grandes lignes que le héros va gagner, on sait vaguement comment, on ne sait juste pas les "petits détails" ni le nombre exact de méchants qu'il va buter....

Du coup, on suit, mais avec nettement moins d'attention que la première fois ou on a vu le premier......

Pause déjeuner

Et faut le dire vite, vu que, depuis quelques années, la pause déjeuner "officielle" des SSTIC, c'est le RU de l'université..... oui, la vie est parfois difficile.....

La preuve, en début d'après midi, certains n'hésitent pas à manger des cables réseaux pour se caler l'estomac: Nico-cable

Il paraitrait même que d'autres mettront l'après midi à digérer le repas......... Patrice-sleep

WOMBAT

Un wombat, normalement, c'est ca: Wombat

Forcément, c'est pas trivial de comprendre le lien avec la sécurité informatique.....
En se renseignant un peu plus (ok, en écoutant les 3 premières minutes de la conf), on apprend qu'il s'agit en fait d'un projet qui existe depuis déjà quelques temps, qui est une collaboration entre quelques grosses sociétés (dont Symantec qui assure la pres), et qui permet de faire de la collecte/exploitation de données collaboratives dans le domaine des malwares, virus et autres joyeusetés du genre.

Par rapport aux honeypots classiques et existants, l'une des originalités du truc semble etre d'utiliser des machines à états finis pour observer ce qui se passe sur le réseau, et répondre en utilisant la même machine à états (jusqu'au jour ou on sort des états connus, et ou on va demander au secours à une autre machine pour savoir quoi répondre).

ACPI et routine de traitement de la SMI: des limites à l'informatique de confiance?

Bon, comme quoi il y a toujours une exception aux règles: on a eu droit à une démo simple et redoutable, qui a d'ailleurs engendré des applaudissements spontanés de l'assistance.

La démo était pourtant simple: sur un portable avec une mandrivia dessus, Loic se connecte sur un compte "démo", et vérifie (whoami) qu'il est bien l'utilisateur "demo".
Ok, jusque la, ca reste du domaine du faisable........
Mais en déconnectant/reconnectant quelques fois d'affilée le cable secteur de son portable, puis en se reconnectant en "demo", pouf, il est devenu root !!!


Quelques explications techniques plus tard, il s'agit en fait d'une manipulation des tables ACPI, que l'OS appelle "betement", sans vraiment savoir ce que font ces méthodes ACPI.

Conclusion sans appel: sur les architectures classiques (un PC, quoi, et la, ca vaut aussi pour un MAC, quoique je me demande si le MAC de ma soeur était un des derniers MAC sous PowerPC ou un des premiers sous X86....), l'informatique "de confiance" n'est pas possible, à partir du moment ou on est l'OS, il y a moyen de gruger.

Pause café...

Au SSTIC, la pause café, c'est sympa......

pause

Compromission physique par le bus PCI

Bon, de loin, ca ressemble clairement à ce qui avait été présenté l'année dernière, mais avec du Firewire. Bluffant, mais je connais déjà la fin de l'histoire.

La conf s'axe quand meme également sur l'aspect matériel, puisque les auteurs ont créé leur propre carte PCI, et détaillent cet aspect.

Bon, par contre, c'est une attaque qui, à mon sens, nécessite d'ouvrir physiquement la machine, et une fois que c'est fait, on a déjà tout un pannel de possibilités d'attaques dessus......... Ou alors faut attaquer un portable qui possède encore un port PCMCIA.......

A quand l'attaque via le port ISA ? :-)

Cinq questions sur la vraie utilité de l'ISO 27001

Aahhhhh.... normalement, ca, c'est LA conf chiante de la semaine..... un truc sur une norme bien lourde, en fin de journée, le piège fatal.....
Et en fait non, pas tant que ca, le conférencier (un gars de chez Hervé) présente de facon assez légère l'artillerie lourde qu'est ISO 27001, pour finalement conclure que, comme toutes les normes de certifications, y'a ceux qui s'en servent comme "guide de bonnes pratiques", et qui peuvent y gagner en niveau de sécurité, et ceux qui "visent le label", qui trouvent toujours moyen de contourner le bidule pour avoir leur certification ISO 27001 tout en restant tout pourris au niveau sécurité.....

Challenge SSTIC

Il y a quelques semaines, l'équipe du SSTIC avait envoyé un challenge. C'etait un fichier brut en apparence, en fait une image de disquette qui bootait sur un noyal Linux, qui demandait un mot de passe et qui marquait "FAIL"......

Sur le coup, j'avais vite laché l'attaque du noyal en question, et les explications d'aujourd'hui m'ont confirmé que j'ai bien fait.....
Je regrette juste de ne pas avoir perséveré dans la voie que j'avais tenté: faire une attaque directe sur le serveur SMTP de SSTIC, puisqu'on validait la réponse en envoyant un mail à une adresse directement dépendante du mot de passe.........


Sur ce, c'est pas tout ca, mais la journée n'est pas finie, faut encore aller manger, causer avec des gens qu'on a vu aujourd'hui, tout ca !!!

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet