SSTIC09, Day2
Par Vanhu le vendredi, juin 5 2009, 09:20 - En direct de la ou je suis - Lien permanent
Dur, dur le matin......
Le second jour, on commence déjà à sentir la fatigue intense......
Heureusement que certains sont la, fidèles au poste (horloge NON retouchée :-) ):
On ne peut pas en dire autant de l'amphi:
Fuzzing : le passé, le présent et le futur
Ca commence fort, pourtant, par une conf faite en anglais (avec des slides en francais made in Babelfish, ce qui donne un résultat parfois surprenant, meme si ca reste compréhensif), et par un des auteurs des célèbres fuzzing test suites "Protos".
On peut noter dans ses slides quelques captures d'écran de crashes, dont un Guru Meditation: 
Vais-je lui demander à la fin s'il a vraiment fait du fuzzing sur un Amiga ? :-)
Non, en fait, je me suis contenté de lui signaler que les outils genre "Protos test suite" peuvent donner un faux sentiment de sécurité: quand on a testé racoon avec leur fuzzer IKE il y a quelques années, le résultat a été positif (aucun crash), alors que, en regardant le code, j'ai trouvé des problèmes, c'est simplement que les paramètres de négo du fuzzer étaient tellement "mauvais" (pas de durée de vie, DES, etc....) que racoon envoyait chier le paquet avant de traiter la partie dangereuse de l'échange.....
Fuzzgrind : un outil de fuzzing automatique
C'est les soldes: une conf sur le fuzzing achetée, une autre offerte, dans la foulée, meme !!
Cette fois ci, il s'agit donc d'automatiser le fuzzing sur une appli....
De loin, on pourrait se dire que c'est un peu con, puisque du fuzzing, c'est de l'aléa, et que ca s'automatise déjà très bien (enfin, ca dépend un peu de l'OS quand meme, si on a toujours 4 comme aléa, ca doit etre un peu moins efficace.....).
En fait, il s'agit d'automatiser la vérification de couverture de code, pour garantir que le fuzzing va passer dans (à peu près) toutes les branches logiques du programme cible.
En pratique, ca permet de trouver comment débloquer un IPhone, trouver le mot de passe d'un exécutable quelconque (cas de figure ou le mot de passe fait "partie du code", forcément, comme ca a été signalé dans l'assistance, si c'est un mot de passe de /etc/passwd, par exemple, ce projet ne verra pas de "branches" différentes d'exécution du code, évidemment), etc..... tout ca sans les sources, en plus !
Sécurité des architectures de Convergence Fixe-Mobile
On est chaud, 2eme démarque, et une 3eme conf dans la foulée, qui va elle aussi parler de fuzzing, même si c'est moins visible dans le titre, cette fois ci.
Et ca promet d'etre intéressant, puisque le modèle qui sera présenté utilise une couche IPsec pour assurer la sécurité :-D
Ca complète de facon intéressante ce qu'on a déjà vu ce matin sur le fuzzing, et j'en retiens surtout qu'il y a des bugs dans *SWAN :-D
Pause
Sécurité des smartphones
En lisant le sujet, je me suis dit "chouette, je vais savoir si je peux m'acheter un Android" (ouais, je blogguerai à ce sujet prochainement, faudrait que j'envisage de remplacer la cabine téléphonique que j'utilise actuellement, et qui tient grace à une réparation "powered by Mac Gyver".....).
Et non, en fait, ca va surtout parler des smartphones sous Windows Mobile, du coup j'ai un peu l'impression que je vais assister à l'exécution d'un boiteux borgne qui aurait les mains attachées dans le dos, et que ca ne va pas m'apprendre grand chose sur mon futur choix de smartphone......
Le traçage de traîtres en multimédia
Au moins, le sujet est clair, et on apprend très vite que ce genre de techniques peut permettre d'ammener quelqu'un en prison pour qu'il meure d'une crise cardiaque..... comme quoi, avec de la technologie, on peut pratiquement tout faire de nos jours !!!!
La suite de la présentation semble partie sur du watermarking de différentes versions d'une même source (un film, en l'occurence), pour savoir qui est le salopiaud peu délicat personnage qui a diffusé en "avant première" un film avant sa sortie.
Le tout en jouant simplement au "qui est-ce" en version multi-cartes, et en gagnant à l'aide de concepts mathématiques triviaux :-)
Et...... oh mon dieu !!! on aurait tué Pappy ??
Ici même ???
Heureusement, un indice important permettra aux enqueteurs de trouver rapidement le coupable: il s'agirait d'une personne de sexe masculin...............
Le vol d'informations n'existe pas...
Une certaine "Marie Barel", manifestement tout à fait inconnue ici (même si son visage me dit vaguement quelquechose :-D ) assure ZE conférence légale de cette année.
(Marie, soyez pas couillons, la c'est à la pause, pas pendant sa pres....)
Fidèle à elle même, Marie nous sort rapidement des articles de loi..... en l'occurence, l'article 311-1 du Code pénal, qui dit clairement que, effectivement, le vol d'information n'existe pas, puisque le vol implique le fait de prendre un support.....
Pire, un jugement de la cour d'appel de Grenoble a confirmé en 2000 qu'il ne pouvait pas y avoir vol de données s'il n'y avait pas vol d'un support !!!
En pratique, tous les contre-exemples qu'on pourrait trouver (vol d'electricité, captation d'émission télé, etc.....) ont fait l'objet de lois spécifiques.
C'est d'autant plus préoccupant quand on connait les statistiques de fuite d'infos internes (salariés mécontents, anciens salariés licenciés, etc....), comme par exemple Barbie Hacker:
Marie nous rassure quand même (un peu) sur la fin, en précisant qu'il existe des possibilités juridiques dérivées, comme l'abus de confiance, le recel (dans certains cas), etc.....
Pause déjeuner
Un peu mieux qu'hier (encore un RU, mais au moins on est arrivés parmi les premiers, et y'avait un peu plus de choix sur les entrées et desserts....), la pause déjeuner ne dure cependant pas très longtemps, car il y a encore un emploi du temps chargé cet après midi, à commencer par.....
Pourquoi la sécurité est un échec (et comment y remédier)
Aucun site gouvernemental ne sera blessé lors de cette conférence
Nico nous avait prévenu en avant première pendant la pause, il est la pour "nous distraire". Mais il nous distrait d'une facon très amusante, certes, mais aussi très réelle, en sortant de nombreux exemples de bétise humaine quand il s'agit de sécurité....
Et il enchaine en testant la salle avec un quizz sécurité, puis en faisant un tour rapide de problèmes plus ou moins connus, plus ou moins récents, mais qui finalement rappellent que, en dehors des salles de confs de sécurité informatique, c'est un peu open bar........
Comme "solutions", Nico parait confiant (ou au moins intéressé) par les techniques de "liste blanche", voire la signature systématique par PKI, même si je lui ai fait remarquer que peu de gens savent vraiment gérer une PKI.....
Bref, débranchez vos ordinateurs, formattez tout (euh, dans l'autre sens, ca fonctionnera mieux), et retournez élever des chèvres dans le Larzac......
Une approche de virtualisation assistée par le matériel pour protéger l'espace noyau d'actions malveillantes
Titre abscon, slides blindés d'acronymes tout aussi limpides, température dans l'amphi qui monte, qui monte........ pas facile de suivre cette conf (surtout après celle de Nico :-) ), meme si ca semble pourtant intéressant sur le fond......
Et au bout de 10 minutes, on "passe à quelquechose de plus compliqué"....... sic........
Conférence invité: système d'exploitation sécurisé et cloisonné pour l'internaute
L'objectif ici est ambitieux, puisqu'il s'agit de fournir un OS sécurisé, utilisable par n'importe qui (vous, moi, ma soeur, Mme Michu, etc.....) pour une utilisation courante (mails, web de base, télédéclaration d'impots, etc....), basé sur un Linux 2.6.
Après une briève explication sur le contexte (il s'agit en fait d'un défi, relevé par 3 équipes "industrielles" qui gagnent des points en trouvant des failles dans les autres implémentations, ceci de facon règlementée, évidemment), nous avons droit à la présentation de la solution EADS-Supelec, qui porte le doux nom d'OSOSOSOS (OS4), et qui utilise une technique de déportation/virtualisation pour "résoudre" le problème.
Il reste 10 minutes pour présentere SafeOS, la solution IRIA/LIP6, si par hasard la vidéo se remet à fonctionner.......
Dans les grandes lignes, l'idée de base est la même: virtualisation........
Et on finit très logiquement par la présentation de la 3ème solution, qui part elle sur des mécanismes de protection embarqués dans le noyal, toujours pour confiner les applications au maximum et limiter la casse en cas de vulnérabilité......
L'approche a au moins le mérite d'essayer d'intercepter un "truc qui est pas normal" en temps réel, voire même de facon anticipée, puisque, par exemple, fichier "créé" (écrit, téléchargé, etc....) ne peut pas être exécuté.
Rumps
Et c'est l'heure des très attendues rump sessions.
Le principe est simple: pratiquement aucune sélection, et un temps par conf très très court (4 minutes cette année), avec un chrono officiel (et personne qui a sorti un zero day sur IPhone cette année, dommage.....):
A la fin de chaque conf, un jury donne une note, comme à l'école des fans:
Ah, au temps pour moi, on me signale qu'il s'agit justement d'une histoire de temps, en fait, pour signaler aux "rumpers" (non, je n'ai pas vérifié si ce mot existe) qu'il leur reste 2 minutes..... Je me disais aussi, tout le monde avait la même note en cours de rump, et ceux qui mettaient du temps finissaient tous avec un 0 pointé.......
Je n'ai pas pu blogguer au fur et à mesure de ces rumps, et pour cause: j'étais dans la file des nombreux (24, record encore battu !) rumpeurs cette année, puisque je présentais (de facon un peu "roots" voire provoc, certes, mais avec une vraie idée derrière) un draft qui propose d'interdire SHOULD et SHOULD NOT dans les RFCs.
On retiendra quand même:
un ethylotest USB
avec plugin PAM existant et plugin SVN prévu dans le futur, présenté avec conviction et abnégation par ses créateurs, qui n'ont pas hésité à se sacrifier pour démontrer l'efficacité de leur appareil:
une rump de Alizée Phil sur Scapy
avec une info qui a fait l'effet d'une bombe: il y aurait désormais de la doc pour Scapy !!!!
Social event
Enchainement sur le social event, dans un lieu classe (l'autre "group" était un congrès de notaires, pas très difficile pour le personnel d'identifier qui allait ou....), mais carrément loin de la gare à pieds !
Et non, Renaud, je n'ai pas fini la soirée au Cactus, si t'as encore causé avec moi la bas toute la nuit, c'est que t'as encore causé avec quelqu'un d'autre ;-)
Commentaires
C'est toujours aussi sympa de te lire Mister Vanhu ! tu parles de fuzzing, faut que je me renseigne un peu dessus ça m'a l'air interressant ! on en reparlera ...
J'aime bien aussi tes photos ! :D