SSTIC09, Day3
Par Vanhu le vendredi, juin 5 2009, 15:42 - En direct de la ou je suis - Lien permanent
Lendemain de social event oblige, le 3eme jour démarre un peu plus tard, et avec un amphi qui se remplit "progressivement"......
XSS - de la brise à l'ouragan
Tito suit cette conf avec nettement plus d'attention que moi (ca parle javascript, xss et html.....), mais dans les grandes lignes, quand vous tapez votre login/password sur facebook, assurez-vous que c'est bien le vrai site facebook (ne cliquez pas sur un lien, tapez vous-même l'URL, déjà....).
Nous aurons également droit à une démo assez marrante sur MySpace, qui utilisait une mécanique de sécurité par "ne le faites pas", en se contentant de dire à ses utilisateurs "ne mettez pas de balises <script>"...... Faille corrigée depuis, c'est peut etre la seule nouvelle rassurante de cette pres: les équipes des gros sites de ce genre sont très réactives pour corriger les failles qu'on leur remonte......
Et, pour finir en beauté, nous avons droit à une défiguration en direct du site du SSTIC, et c'est pas de la vidéo, je viens de vérifier sur mon portable:
Et du coup, je n'ai plus le programme officiel à portée de click pour copier/coller les titres exacts des confs suivantes...... (ouf, entre temps, c'est revenu....).
Origami malicieux en PDF
Fred nous montre de facon assez inquiétante qu'un PDF est finalement au moins aussi dangereux qu'un .doc (ou équivalent) pour faire transiter des virus et autres malwares.
Après une rump hier soir sur les risques de LaTeX et tout ce qu'on voit sur le html, c'est à se demander quel format de fichier peut encore être utilisé pour faire transiter des données: allons-nous tous devoir revenir au .txt ??
Macaron, une porte dérobée pour toutes les applications JavaEE
Encore une conf avec "Java" dans le titre..... bon, tant pis, on va faire avec.....
J'ai loupé le début, cause discussion avec des "tshirts rouges" (le comité d'orga), mais en reprenant la conf en route, on comprend rapidement le principe: si par hasard vous avez réussi à échapper aux XSS, aux buffers overflow des programmes, aux pièges des .doc, .pdf et autres, ne vous inquietez pas: il y a encore les applis Java pour pouvoir compromettre votre machine.......
IpMorph : Unification de la mystification de prise d'empreinte
Franchement, quand j'ai lu le titre de cette pres pour la première fois, j'ai du le relire 3 fois (c'était pas la seule, d'ailleurs).
Ce matin, je connais quand meme déjà un peu l'histoire, puisque j'ai eu l'occasion de parler (entre autres) avec Guillaume (qui fait la pres) hier soir, entre autres à propos de sa pres de ce matin.
Le sujet est donc la prise d'empreinte réseau (vous connaissez nmap ou SinFP, par exemple ?), mais vu de l'autre coté: il s'agit ici de se faire passer pour un autre stack vis à vis des outils de scan.
La pres commence par un didactique sur la prise d'empreinte, puis sur une explication très visuelle (en plus de s'y connaitre en piles IP, Guillaume est manifestement un expert en slides animés !!!).
Bon, forcément, ca ne pouvait pas être parfait: IpMorph est diffusé sous licence GPLv3 et est fait en C++...... malgré ces deux grosses tares (alors que ca aurait pu être fait en C et diffusé sous licence BSD.....), ca reste un projet très intéressant, voire carrément bluffant quand on regarde les démos !!!
Analyse dynamique depuis l"espace noyau avec Kolumbo
Ca a l'air bien..... mais j'ai fait un bloquage psychologique complet en voyant un "my_open()" dans les slides (ceux "qui savent" comprendront........).
Manifestement, je n'ai pas été le seul à avoir ce bloquage, puisque c'est la première conf cette année ou il n'y a pas la moindre question (ou alors ca veut dire que la conf était limpide ).
Calcul sur cartes graphiques, cryptographie et sécurité
Vous ne le saviez peut etre pas, mais la console de jeu dans votre salon ou votre PC de GamerZ dernier cri est en fait une redoutable arme de guerre cryptographique. En effet les GPUs dernières générations sont capables de traitements mathématiques massivement parallélisés, et cette puissance peut désormais etre utilisée pour autre chose que des calculs de polygones.
En utilisation de chiffrement "classique" (vous etes l'utilisateur légitime de la crypto), c'est déjà interessant d'utiliser ces cartes, même si le gain théorique fort parfois annoncé doit etre relativisé par les coûts de transfert entre la carte graphique et la mémoire centrale.
Mais le vrai sujet de la pres, c'est en attaque, avec de la parallélisation massive de bruteforce pour attaquer des clés. Et la, manifestement, ca devient nettement plus intéressant, puisque le goulot d'étranglement qu'est le transfert mémoire entre GPU et mémoire centrale n'existe pratiquement plus (pour l'attaque, il y a besoin de peu de transfert de données).
Pause déjeuner
Troisième jour de RU le midi..... ca commence à etre dur psychologiquement, vivement demain que je puisse manger comme un sagouin !!!
Heureusement qu'il y a les repas du soir pour compenser un peu.
D'ailleurs, on sent sur le retour que ca devient difficile pour plein de monde.......
Emanations Compromettantes Electromagnétiques des Claviers Filaires et Sans-fil
Comme si on avait pas déjà assez déprimé comme ca ces derniers jours, nous allons maintenant finir par (ré)apprendre que, de toutes facons, il y a toujours moyen de récupérer des informations via les "émanations" du clavier, que ca soit electromagnétique (le sujet principal de la conf), mais aussi sonores, etc......
La conf commence par un historique (carrément bien présenté et animé, y'a un concours de powerpoint cette année ou quoi ?) d'interception d'ondes electromagnétiques. Très intéressant, et aussi très impressionnant !!!
Suit une pres très bien faite et très vivante qui montre ce qu'il est possible de faire à partir d'un signal pour, après pas mal de traitements, réussir effectivement à savoir quelle touche a été frappée...... pas top lorsqu'on tape un mot de passe.......
La protection la plus "efficace" semble etre de vous assurer qu'il n'y a ni gens ni matériel à moins de 20 mètres, et de faire tourner votre micro-ondes et plein d'ordis en permanence, histoire de générer du bruit électronique..... ah, et taper vite, apparemment........
L'humain, le maillon fort
Présentation "d'architecte" d'un ancien de la DCSSI. Vison intéressante du "vrai modèle de sécurité de TCP/IP", et du fait que les outils sont finalement la uniquement pour que l'humain puisse déléguer une partie de la gestion de la sécurité, mais que ca reste l'humain le maillon fort.....
Sid, t'arrives à résumer un peu ce qu'il dit ??
This is the end......
Eh oui, les meilleurs choses ont une fin, et j'aurai juste le privilège de faire une "photo officielle" du comité SSTIC avant de reprendre la route pour rentrer à la maison.......
