Aller au contenu | Aller au menu | Aller à la recherche

SSTIC 2010, Day 3

Ouch, debouts en plein milieu de la nuit (8h30), check-out de l'hotel, tout ca, pour arriver juste à temps pour la première conf qui vient à peine de commencer (9h45).

Heureusement, curieusement, l'amphi n'est pas tout à fait autant rempli que les jours précédents........

Trusted Computing : Limitations actuelles et perspectives

En général, je suis le premier à critiquer les personnes qui présentent une conf sans aucun talent d'orateur (voix monotone, qui donne pas du tout envie d'écouter voire qui est soporifique, tout ca...).
La, un lendemain de social event, je m'abstiendrai d'une telle catégorisation: je ne sais pas à quelle heure et dans quel état il s'est couché, et le public, moi y compris, doit aussi être un peu plus sujet à la somnolence que d'habitude......

JBOSS AS: exploitation et sécurisation

JBOSS ? C'est un truc Java, ca, non ?
Bon, j'ai des mails en retard à lire, et un peu d'air frais à prendre, moi, à tout à l'heure !!!


....

Bon, tout ce que j'en retiens, c'est que JBOSS est bourré de "features" qui permettent de venir poser ce qu'on veut dessus quand on est un attaquant maladroit personnage.........
Donc si vous utilisez JBOSS, allez lire les actes !!!!

Audit d'applications .NET complexes - le cas Microsoft OCS 2007

Bon, la matinée continue avec une conf sur .NET ..... On va écouter, mais c'est vraiment parceque c'est Nico RUFF qui fait la conf !!!

Bah oui, Nico, en conf, c'est de la poésie: il prend un sujet polémique, trollesque, voire chiant (la, en l'occurence, .NET, quand même !), vous raconte ca d'une voix un peu machonnée (ou alors c'est l'effet vendredi matin ???), mais qu'on a quand même envie de suivre, le tout parsemé ici et la de petites phrases assassines et droles......

"5 minutes.... ok, j'suis mort"..... bon, la fin de la conf va s'accélérer fortement, mais Nico cherche des gens qui s'intéressent à .NET (et des lecteurs de PC Impact, aussi, apparemment.....), avis aux amateurs.....

On a droit, pour finir, à un 3L33T H4CK1nG sur SongSmith (un truc qui peut apparemment faire croire que vous chantez bien ?), et une démo musicale....

Conférence invitée

Ca ne se devinait forcément pas dans le titre, mais on est prévenus dès le début: ca va parler de sécurité des applications WEB, "avec une connotation formelle"...... j'ai peur........


Je reprends cette conf en cours de route, pour suivre avec beaucoup d'intéret (?) une explication sur le principe d'une injection de code SQL..... super !
J'en aurais presque hâte d'être déjà à l'heure d'aller manger au RU.........


J'apprendrai plus tard qu'il y avait un vrai projet potentiellement intéressant dans cette pres, qui a été vaguement abordé dans les dernières minutes......

Entre temps, (curieusement ?), la salle est encore assez pleine: salle-D3

Mais certains ont cependant préféré aller méditer de leur coté sur les problèmes de cloud et autres.... cloud-dehors

Pause déjeuner

MMMMMhhhhhh..... un succulent déjeuner à la hauteur de la dernière près de ce matin......

Puis une pause bien méritée avant la reprise des confs: PauseD3-1 PauseD3-2

(que certains soient rassurés, d'autres photos prises ce midi resteront classées SECRET DEFENSE ;-) )

PoC(k)ET, les détails d'un rootkit pour Windows Mobile 6

Sur le principe, j'aime pas trop les gens qui se vantent de tirer au bazooka sur les ambulances en panne sur le bas coté de la route......
Mais bon, voyons quand même comment le téléphone prété par le courageux Nico (oui, celui de ce matin.... Nico, pas le téléphone, vous faites exprès, ou quoi ?) va servir à hacker un autre téléphone (ou l'inverse ?).

Ca commence par un rappel du contexte spécifique des smartphonesordiphones pour faire un rootkit, comme par exemple la nécessité d'être discret en utilisation de batterie, pour ne pas éveiller les soupçons de l'utilisateur, ou le fait que l'accès au net est variable, parfois multiple, parfois inexistant, etc....

J'avoue, j'ai écouté d'une oreille seulement (la gauche, pour ceux qui se poseraient la question), mais la près présente bien les problèmes généraux des rootkits sur smartphones, et pourquoi Windows Mobile est pire que les autres (en gros, il est beaucoup plus permissif sur plein de choses, allez lire les actes pour les détails......).

Je note aussi la réponse à la question "comment on se protège ?" : "déjà on utilise pas Windows Mobile" :-)

Projet OsmocomBB

Seconde présentation en anglais, qui parle aussi de trucs liés aux GSM, et d'ailleurs faite par le même conférencier que la présentation d'hier sur OpenBSC (en anglais aussi, ca se tient, donc).

Bon, petits rappels de ce qui avait déjà été présenté hier sur la (non) sécurité des discussions entre le téléphone et l'opérateur, mais un peu plus orienté "du coté du téléphone".... et pas plus rassurant pour autant......

Ensuite, présentation du projet lui même: faire un téléphone GSM complet en OpenSource. J'ai pas l'impression que ca soit directement le coeur du thème des SSTIC, n'empèche, ca reste intéressant pour une salle de 3I33t hackers, et ca remplira au moins le quota de près avec des photos de hardware "maison" :-D
Non, je suis pas du tout en manque des confs des années précédentes bourrées de dumps ASM :-)

On sera par contre juste un peu déçus par la démo, qu'il fait sans même avoir besoin de faire une injection de code ou un truc dans le genre ;-)
Euh.... bon, ok, le dump de communication téléphonique dans Wireshark, c'est sympa quand même :-)
Et le tout avec une gestion bluffante du problème "mains au clavier Vs tenir le micro":
Micro

Conférence invitée

Bon, bah la, même sur le programme sur le site du SSTIC, pas le moindre indice sur ce que va être cette conf..... Non, je ne cèderai pas à la facilité en suggérant plus ou moins directement que les "confs invitées", y'a de quoi faire peur depuis ce matin.... non......
Surtout en voyant arriver un conférencier en costard-cravatte...... quoique ca, c'est sur que c'est pas un indice, il suffit de se souvenir de la dernière conférence de lundi !

On a finalement droit à une présentation géo-politique de la problématique de sécurité informatique.
Euh, difficile à résumer en quelques phrases, mais c'est intéressant que ce point de vue soit présenté à un public tel que celui du SSTIC.

Ah, bah voila, on sait pourquoi cette conf est la: c'était pour finir comme ca a commencé: par une campagne de recrutement d'une agence gouvernementale :-)

Je note aussi la phrase: "le mec qui vient se vanter d'avoir trouvé une vulnérabilité d'un windows, c'est de la vanité mal placée" (ou un truc comme ca ? quelqu'un peut me confirmer la phrase exacte ?).
Plus sérieusement, la fin du discours me plait beaucoup. En résumé, c'est bien gentil de trouver une nouvelle attaque sur un système, mais c'est nettement plus constructif de trouver comment protéger les systèmes en question......

Thisis the end......

Voila..... ca y est, c'est la fin des SSTIC 2010.... on se dit au revoir, on s'embrasse (enfin, on essaie de faire la bise aux filles, quoi.....), on retient la petite larme, on se promet de s'écrire d'ici la, et on se dit qu'on se reverra de toutes façons l'année prochaine.......

Et chacun repart dans son coin, prendre son train, récupérer sa voiture, et va rentrer chez lui pour passer la semaine prochaine à raconter tout ce qu'il a vu/entendu cette année........

A l'année prochaine, donc !

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet