Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - SSTIC09

Fil des billets - Fil des commentaires

vendredi, juin 5 2009

SSTIC09, Day3

Lendemain de social event oblige, le 3eme jour démarre un peu plus tard, et avec un amphi qui se remplit "progressivement"......

XSS - de la brise à l'ouragan

Tito suit cette conf avec nettement plus d'attention que moi (ca parle javascript, xss et html.....), mais dans les grandes lignes, quand vous tapez votre login/password sur facebook, assurez-vous que c'est bien le vrai site facebook (ne cliquez pas sur un lien, tapez vous-même l'URL, déjà....).

Nous aurons également droit à une démo assez marrante sur MySpace, qui utilisait une mécanique de sécurité par "ne le faites pas", en se contentant de dire à ses utilisateurs "ne mettez pas de balises <script>"...... Faille corrigée depuis, c'est peut etre la seule nouvelle rassurante de cette pres: les équipes des gros sites de ce genre sont très réactives pour corriger les failles qu'on leur remonte......

Et, pour finir en beauté, nous avons droit à une défiguration en direct du site du SSTIC, et c'est pas de la vidéo, je viens de vérifier sur mon portable:

sstic-website-deface


Et du coup, je n'ai plus le programme officiel à portée de click pour copier/coller les titres exacts des confs suivantes...... (ouf, entre temps, c'est revenu....).

Origami malicieux en PDF

Fred nous montre de facon assez inquiétante qu'un PDF est finalement au moins aussi dangereux qu'un .doc (ou équivalent) pour faire transiter des virus et autres malwares.

Après une rump hier soir sur les risques de LaTeX et tout ce qu'on voit sur le html, c'est à se demander quel format de fichier peut encore être utilisé pour faire transiter des données: allons-nous tous devoir revenir au .txt ??

Macaron, une porte dérobée pour toutes les applications JavaEE

Encore une conf avec "Java" dans le titre..... bon, tant pis, on va faire avec.....

J'ai loupé le début, cause discussion avec des "tshirts rouges" (le comité d'orga), mais en reprenant la conf en route, on comprend rapidement le principe: si par hasard vous avez réussi à échapper aux XSS, aux buffers overflow des programmes, aux pièges des .doc, .pdf et autres, ne vous inquietez pas: il y a encore les applis Java pour pouvoir compromettre votre machine.......

IpMorph : Unification de la mystification de prise d'empreinte

Franchement, quand j'ai lu le titre de cette pres pour la première fois, j'ai du le relire 3 fois (c'était pas la seule, d'ailleurs).
Ce matin, je connais quand meme déjà un peu l'histoire, puisque j'ai eu l'occasion de parler (entre autres) avec Guillaume (qui fait la pres) hier soir, entre autres à propos de sa pres de ce matin.

Le sujet est donc la prise d'empreinte réseau (vous connaissez nmap ou SinFP, par exemple ?), mais vu de l'autre coté: il s'agit ici de se faire passer pour un autre stack vis à vis des outils de scan.

La pres commence par un didactique sur la prise d'empreinte, puis sur une explication très visuelle (en plus de s'y connaitre en piles IP, Guillaume est manifestement un expert en slides animés !!!).

Bon, forcément, ca ne pouvait pas être parfait: IpMorph est diffusé sous licence GPLv3 et est fait en C++...... malgré ces deux grosses tares (alors que ca aurait pu être fait en C et diffusé sous licence BSD.....), ca reste un projet très intéressant, voire carrément bluffant quand on regarde les démos !!!

Analyse dynamique depuis l"espace noyau avec Kolumbo

Ca a l'air bien..... mais j'ai fait un bloquage psychologique complet en voyant un "my_open()" dans les slides (ceux "qui savent" comprendront........).

Manifestement, je n'ai pas été le seul à avoir ce bloquage, puisque c'est la première conf cette année ou il n'y a pas la moindre question (ou alors ca veut dire que la conf était limpide ).

Calcul sur cartes graphiques, cryptographie et sécurité

Vous ne le saviez peut etre pas, mais la console de jeu dans votre salon ou votre PC de GamerZ dernier cri est en fait une redoutable arme de guerre cryptographique. En effet les GPUs dernières générations sont capables de traitements mathématiques massivement parallélisés, et cette puissance peut désormais etre utilisée pour autre chose que des calculs de polygones.

En utilisation de chiffrement "classique" (vous etes l'utilisateur légitime de la crypto), c'est déjà interessant d'utiliser ces cartes, même si le gain théorique fort parfois annoncé doit etre relativisé par les coûts de transfert entre la carte graphique et la mémoire centrale.


Mais le vrai sujet de la pres, c'est en attaque, avec de la parallélisation massive de bruteforce pour attaquer des clés. Et la, manifestement, ca devient nettement plus intéressant, puisque le goulot d'étranglement qu'est le transfert mémoire entre GPU et mémoire centrale n'existe pratiquement plus (pour l'attaque, il y a besoin de peu de transfert de données).

Pause déjeuner

Troisième jour de RU le midi..... ca commence à etre dur psychologiquement, vivement demain que je puisse manger comme un sagouin !!!
Heureusement qu'il y a les repas du soir pour compenser un peu.

D'ailleurs, on sent sur le retour que ca devient difficile pour plein de monde....... D3-pause-1 D3-pause-2

Emanations Compromettantes Electromagnétiques des Claviers Filaires et Sans-fil

Comme si on avait pas déjà assez déprimé comme ca ces derniers jours, nous allons maintenant finir par (ré)apprendre que, de toutes facons, il y a toujours moyen de récupérer des informations via les "émanations" du clavier, que ca soit electromagnétique (le sujet principal de la conf), mais aussi sonores, etc......


La conf commence par un historique (carrément bien présenté et animé, y'a un concours de powerpoint cette année ou quoi ?) d'interception d'ondes electromagnétiques. Très intéressant, et aussi très impressionnant !!!

Suit une pres très bien faite et très vivante qui montre ce qu'il est possible de faire à partir d'un signal pour, après pas mal de traitements, réussir effectivement à savoir quelle touche a été frappée...... pas top lorsqu'on tape un mot de passe.......

La protection la plus "efficace" semble etre de vous assurer qu'il n'y a ni gens ni matériel à moins de 20 mètres, et de faire tourner votre micro-ondes et plein d'ordis en permanence, histoire de générer du bruit électronique..... ah, et taper vite, apparemment........

L'humain, le maillon fort

Présentation "d'architecte" d'un ancien de la DCSSI. Vison intéressante du "vrai modèle de sécurité de TCP/IP", et du fait que les outils sont finalement la uniquement pour que l'humain puisse déléguer une partie de la gestion de la sécurité, mais que ca reste l'humain le maillon fort.....


Sid, t'arrives à résumer un peu ce qu'il dit ??

This is the end......

Eh oui, les meilleurs choses ont une fin, et j'aurai juste le privilège de faire une "photo officielle" du comité SSTIC avant de reprendre la route pour rentrer à la maison.......

SSTIC-CO

SSTIC09, Day2

Dur, dur le matin......

Le second jour, on commence déjà à sentir la fatigue intense...... Heureusement que certains sont la, fidèles au poste (horloge NON retouchée :-) ): D2-morning

On ne peut pas en dire autant de l'amphi: Amphi-vide-D2

Fuzzing : le passé, le présent et le futur

Ca commence fort, pourtant, par une conf faite en anglais (avec des slides en francais made in Babelfish, ce qui donne un résultat parfois surprenant, meme si ca reste compréhensif), et par un des auteurs des célèbres fuzzing test suites "Protos".

On peut noter dans ses slides quelques captures d'écran de crashes, dont un Guru Meditation: GuruMeditation

Vais-je lui demander à la fin s'il a vraiment fait du fuzzing sur un Amiga ? :-)

Non, en fait, je me suis contenté de lui signaler que les outils genre "Protos test suite" peuvent donner un faux sentiment de sécurité: quand on a testé racoon avec leur fuzzer IKE il y a quelques années, le résultat a été positif (aucun crash), alors que, en regardant le code, j'ai trouvé des problèmes, c'est simplement que les paramètres de négo du fuzzer étaient tellement "mauvais" (pas de durée de vie, DES, etc....) que racoon envoyait chier le paquet avant de traiter la partie dangereuse de l'échange.....

Fuzzgrind : un outil de fuzzing automatique

C'est les soldes: une conf sur le fuzzing achetée, une autre offerte, dans la foulée, meme !!
Cette fois ci, il s'agit donc d'automatiser le fuzzing sur une appli....

De loin, on pourrait se dire que c'est un peu con, puisque du fuzzing, c'est de l'aléa, et que ca s'automatise déjà très bien (enfin, ca dépend un peu de l'OS quand meme, si on a toujours 4 comme aléa, ca doit etre un peu moins efficace.....).

En fait, il s'agit d'automatiser la vérification de couverture de code, pour garantir que le fuzzing va passer dans (à peu près) toutes les branches logiques du programme cible.

En pratique, ca permet de trouver comment débloquer un IPhone, trouver le mot de passe d'un exécutable quelconque (cas de figure ou le mot de passe fait "partie du code", forcément, comme ca a été signalé dans l'assistance, si c'est un mot de passe de /etc/passwd, par exemple, ce projet ne verra pas de "branches" différentes d'exécution du code, évidemment), etc..... tout ca sans les sources, en plus !

Sécurité des architectures de Convergence Fixe-Mobile

On est chaud, 2eme démarque, et une 3eme conf dans la foulée, qui va elle aussi parler de fuzzing, même si c'est moins visible dans le titre, cette fois ci.
Et ca promet d'etre intéressant, puisque le modèle qui sera présenté utilise une couche IPsec pour assurer la sécurité :-D

Ca complète de facon intéressante ce qu'on a déjà vu ce matin sur le fuzzing, et j'en retiens surtout qu'il y a des bugs dans *SWAN :-D

Pause


Sécurité des smartphones

En lisant le sujet, je me suis dit "chouette, je vais savoir si je peux m'acheter un Android" (ouais, je blogguerai à ce sujet prochainement, faudrait que j'envisage de remplacer la cabine téléphonique que j'utilise actuellement, et qui tient grace à une réparation "powered by Mac Gyver".....).

Et non, en fait, ca va surtout parler des smartphones sous Windows Mobile, du coup j'ai un peu l'impression que je vais assister à l'exécution d'un boiteux borgne qui aurait les mains attachées dans le dos, et que ca ne va pas m'apprendre grand chose sur mon futur choix de smartphone......

Le traçage de traîtres en multimédia

Au moins, le sujet est clair, et on apprend très vite que ce genre de techniques peut permettre d'ammener quelqu'un en prison pour qu'il meure d'une crise cardiaque..... comme quoi, avec de la technologie, on peut pratiquement tout faire de nos jours !!!!

La suite de la présentation semble partie sur du watermarking de différentes versions d'une même source (un film, en l'occurence), pour savoir qui est le salopiaud peu délicat personnage qui a diffusé en "avant première" un film avant sa sortie.

Le tout en jouant simplement au "qui est-ce" en version multi-cartes, et en gagnant à l'aide de concepts mathématiques triviaux :-)

Et...... oh mon dieu !!! on aurait tué Pappy ?? Ici même ???
Heureusement, un indice important permettra aux enqueteurs de trouver rapidement le coupable: il s'agirait d'une personne de sexe masculin...............

Le vol d'informations n'existe pas...

Une certaine "Marie Barel", manifestement tout à fait inconnue ici (même si son visage me dit vaguement quelquechose :-D ) assure ZE conférence légale de cette année.

(Marie, soyez pas couillons, la c'est à la pause, pas pendant sa pres....) Marie

Fidèle à elle même, Marie nous sort rapidement des articles de loi..... en l'occurence, l'article 311-1 du Code pénal, qui dit clairement que, effectivement, le vol d'information n'existe pas, puisque le vol implique le fait de prendre un support.....

Pire, un jugement de la cour d'appel de Grenoble a confirmé en 2000 qu'il ne pouvait pas y avoir vol de données s'il n'y avait pas vol d'un support !!!
En pratique, tous les contre-exemples qu'on pourrait trouver (vol d'electricité, captation d'émission télé, etc.....) ont fait l'objet de lois spécifiques.

C'est d'autant plus préoccupant quand on connait les statistiques de fuite d'infos internes (salariés mécontents, anciens salariés licenciés, etc....), comme par exemple Barbie Hacker:

BarbieHacker

Marie nous rassure quand même (un peu) sur la fin, en précisant qu'il existe des possibilités juridiques dérivées, comme l'abus de confiance, le recel (dans certains cas), etc.....

Pause déjeuner

Un peu mieux qu'hier (encore un RU, mais au moins on est arrivés parmi les premiers, et y'avait un peu plus de choix sur les entrées et desserts....), la pause déjeuner ne dure cependant pas très longtemps, car il y a encore un emploi du temps chargé cet après midi, à commencer par.....

Pourquoi la sécurité est un échec (et comment y remédier)

Aucun site gouvernemental ne sera blessé lors de cette conférence

Nico nous avait prévenu en avant première pendant la pause, il est la pour "nous distraire". Mais il nous distrait d'une facon très amusante, certes, mais aussi très réelle, en sortant de nombreux exemples de bétise humaine quand il s'agit de sécurité....

Et il enchaine en testant la salle avec un quizz sécurité, puis en faisant un tour rapide de problèmes plus ou moins connus, plus ou moins récents, mais qui finalement rappellent que, en dehors des salles de confs de sécurité informatique, c'est un peu open bar........

Comme "solutions", Nico parait confiant (ou au moins intéressé) par les techniques de "liste blanche", voire la signature systématique par PKI, même si je lui ai fait remarquer que peu de gens savent vraiment gérer une PKI.....

Bref, débranchez vos ordinateurs, formattez tout (euh, dans l'autre sens, ca fonctionnera mieux), et retournez élever des chèvres dans le Larzac......

Une approche de virtualisation assistée par le matériel pour protéger l'espace noyau d'actions malveillantes

Titre abscon, slides blindés d'acronymes tout aussi limpides, température dans l'amphi qui monte, qui monte........ pas facile de suivre cette conf (surtout après celle de Nico :-) ), meme si ca semble pourtant intéressant sur le fond......

Et au bout de 10 minutes, on "passe à quelquechose de plus compliqué"....... sic........

Conférence invité: système d'exploitation sécurisé et cloisonné pour l'internaute

L'objectif ici est ambitieux, puisqu'il s'agit de fournir un OS sécurisé, utilisable par n'importe qui (vous, moi, ma soeur, Mme Michu, etc.....) pour une utilisation courante (mails, web de base, télédéclaration d'impots, etc....), basé sur un Linux 2.6.

Après une briève explication sur le contexte (il s'agit en fait d'un défi, relevé par 3 équipes "industrielles" qui gagnent des points en trouvant des failles dans les autres implémentations, ceci de facon règlementée, évidemment), nous avons droit à la présentation de la solution EADS-Supelec, qui porte le doux nom d'OSOSOSOS (OS4), et qui utilise une technique de déportation/virtualisation pour "résoudre" le problème.

Il reste 10 minutes pour présentere SafeOS, la solution IRIA/LIP6, si par hasard la vidéo se remet à fonctionner.......
Dans les grandes lignes, l'idée de base est la même: virtualisation........


Et on finit très logiquement par la présentation de la 3ème solution, qui part elle sur des mécanismes de protection embarqués dans le noyal, toujours pour confiner les applications au maximum et limiter la casse en cas de vulnérabilité......
L'approche a au moins le mérite d'essayer d'intercepter un "truc qui est pas normal" en temps réel, voire même de facon anticipée, puisque, par exemple, fichier "créé" (écrit, téléchargé, etc....) ne peut pas être exécuté.

Rumps

Et c'est l'heure des très attendues rump sessions.

Le principe est simple: pratiquement aucune sélection, et un temps par conf très très court (4 minutes cette année), avec un chrono officiel (et personne qui a sorti un zero day sur IPhone cette année, dommage.....): Rump-chrono

A la fin de chaque conf, un jury donne une note, comme à l'école des fans: JP-2min

Ah, au temps pour moi, on me signale qu'il s'agit justement d'une histoire de temps, en fait, pour signaler aux "rumpers" (non, je n'ai pas vérifié si ce mot existe) qu'il leur reste 2 minutes..... Je me disais aussi, tout le monde avait la même note en cours de rump, et ceux qui mettaient du temps finissaient tous avec un 0 pointé.......


Je n'ai pas pu blogguer au fur et à mesure de ces rumps, et pour cause: j'étais dans la file des nombreux (24, record encore battu !) rumpeurs cette année, puisque je présentais (de facon un peu "roots" voire provoc, certes, mais avec une vraie idée derrière) un draft qui propose d'interdire SHOULD et SHOULD NOT dans les RFCs.


On retiendra quand même:

un ethylotest USB

avec plugin PAM existant et plugin SVN prévu dans le futur, présenté avec conviction et abnégation par ses créateurs, qui n'ont pas hésité à se sacrifier pour démontrer l'efficacité de leur appareil:

Ethylo2 Ethylo3


une rump de Alizée Phil sur Scapy

avec une info qui a fait l'effet d'une bombe: il y aurait désormais de la doc pour Scapy !!!! Phil-Alizee

Social event

Enchainement sur le social event, dans un lieu classe (l'autre "group" était un congrès de notaires, pas très difficile pour le personnel d'identifier qui allait ou....), mais carrément loin de la gare à pieds !

Et non, Renaud, je n'ai pas fini la soirée au Cactus, si t'as encore causé avec moi la bas toute la nuit, c'est que t'as encore causé avec quelqu'un d'autre ;-)

jeudi, juin 4 2009

SSTIC09, Day1

Nous revoici donc au jour 1 des SSTIC 2009 (voir le billet d'en dessous si vous débarquez maintenant, vous pourriez quand meme faire un effort pour suivre, un peu.....) !

Arrivée sur site

L'arrivé s'est plutot bien passée, pour la première fois ou je tentais de retrouver la route comme un grand (jusqu'à présent, on était toujours venu en train), et après quelques cafouillages d'orga (moi, m'en fous, c'était mon nom sur la commande, j'ai pas eu de soucis ;-) ), le récupérage du Tshirt de l'évènement (pour se la péter grave en boite et draguer de la minette à donf.....) et du quintal d'actes de l'année, faut bien se décider à s'engouffrer avec tout le monde dans la grande salle.......

Ouverture

Comme tous les ans, c'est Fred qui fait le discours d'ouverture, sauf qu'il est carrément plus mignonne que dans mon souvenir des années précédentes:

aujourd'hui, Fred ressemblait à ca:

Celine


Alors que, dans mon souvenir des années précédentes, il ressemblait plutot à ca:

Fred

Comme quoi, des fois, suffit de se raser la barbe et de mettre un Tshirt moulant.....

Keynote: la sécurité dans les avions......

La keynote est un grand moment d'anthologie, puisqu'elle est faite par le responsable sécurité des avions chez Airbus, qui, évènements récents oblige, n'a du coup pas le droit d'utiliser ses slides, pas trop le droit d'évoquer les dits évènements, et fait donc un exercice de style hors norme en meublant 45 minutes, et en essayant de nous rassurer sur la sécurité des avions avec des petites phrases comme "un avion, c'est succeptible d'etre attaqué par un missile" ou "le Windows dans le cockpit, il sert seulement pour que le pilote passe le temps, récupère ses mails, etc....".

Ouf, je me sens mieux, d'autant que je rentre en voiture, de toutes facons.....

Evaluation de l'injection de code malicieux dans une Java Card

D'après un de mes assistants (oui, toujours venir à une conf avec au moins une autre personne, de préférence novice, qui n'osera pas broncher quand on lui dit de bien tout écouter et de faire un résumé après......), c'est "bien si on aime Java".


Autant vous dire que j'ai décroché au bout de 5 minutes, préférant aller entretenir le relationnel avec quelques autres personnes, eux aussi plus intéressées pour discuter IPv6 et autres trucs réseaux que Java dans embarqué dans des cartes à puces (oui, les petits machins de quelques centimètres carrés de surface).

C'était également le moment pour d'autres de se livrer à la méditation, profitant de la verdure environnante.....

HB


Kartoch, si tu lis ces lignes, t'avais qu'a etre aussi sur l'estrade et causer aussi, je serais resté ! ;-)

Utilisation du Data Tainting pour l'analyse de logiciels malveillants

Au bout de quelques slides, déjà, une définition du data tainting: "mécanisme permettant la tracabilité de la propagation d'une donnée sur un systeme d'information".... rien que ca !

Pour ceux qui nous diraient déjà "bah, faites tourner votre logiciel dans un environnement virtuel, c'est facile à observer", bah non. Comme nous l'explique le speaker, un environnement virtuel est souvent facile à détecter (plein d'options et de modes des CPUs, par exemple, ne sont jamais utilisés, donc ne sont pas implémentés dans les systèmes de virtualisation), et de nombreux logiciels malveillants testent ce genre de choses.


La, il s'agit manifestement d'étudier in vivo, sur une "vraie" machine, en interceptant les données lors de certains échanges mémoire (via un hook du MMU).


Effet démo....

Ah, première matinée, et déjà un gars qui ne sait pas qu'il ne faut JAMAIS faire une démo dans une conf......

  • D'abord, ca casse le rythme, ca endort le public, surtout quand la démo n'est pas instantanée (ce qui est le cas ici, avec un "on va patienter un peu" suivit d'un grand moment de solitude pour le speaker.....).
  • Ensuite, les gens ne comprennent généralement pas l'intéret de la démo, ou alors auraient été au moins autant impressionnés par des captures d'écran prises à l'avance (voire des montages photoshop.....).
  • Enfin, il y a une fois sur deux un "effet démo", la, en l'occurence, en pleine démo on a eu droit à un "et la on voit qu'on a rien d'intéressant".....

Pour autant, l'idée du truc est plutot sympa, ca vaudra une lecture des actes lors d'une longue soirée d'hiver....

Désobfuscation automatique de binaire

Franchement, on appelle ca un "marronier".
Tous les ans, au SSTIC, y'a une ou deux confs sur ce sujet.
Tous les ans, on voit effectivement de la nouveauté, c'est pas le souci.
Mais tous les ans, on voit encore et encore les mêmes arbres d'appels, les mêmes slides qui montrent "avant / après", avec un arbre d'appels monstrueux qui finalement se réduisent à que dalle.

Ca reste impressionnant, et je suis convaincu qu'ils font effectivement des progrès tous les ans, mais bon, c'est un peu comme Rambo V: on sait déjà dans les grandes lignes que le héros va gagner, on sait vaguement comment, on ne sait juste pas les "petits détails" ni le nombre exact de méchants qu'il va buter....

Du coup, on suit, mais avec nettement moins d'attention que la première fois ou on a vu le premier......

Pause déjeuner

Et faut le dire vite, vu que, depuis quelques années, la pause déjeuner "officielle" des SSTIC, c'est le RU de l'université..... oui, la vie est parfois difficile.....

La preuve, en début d'après midi, certains n'hésitent pas à manger des cables réseaux pour se caler l'estomac: Nico-cable

Il paraitrait même que d'autres mettront l'après midi à digérer le repas......... Patrice-sleep

WOMBAT

Un wombat, normalement, c'est ca: Wombat

Forcément, c'est pas trivial de comprendre le lien avec la sécurité informatique.....
En se renseignant un peu plus (ok, en écoutant les 3 premières minutes de la conf), on apprend qu'il s'agit en fait d'un projet qui existe depuis déjà quelques temps, qui est une collaboration entre quelques grosses sociétés (dont Symantec qui assure la pres), et qui permet de faire de la collecte/exploitation de données collaboratives dans le domaine des malwares, virus et autres joyeusetés du genre.

Par rapport aux honeypots classiques et existants, l'une des originalités du truc semble etre d'utiliser des machines à états finis pour observer ce qui se passe sur le réseau, et répondre en utilisant la même machine à états (jusqu'au jour ou on sort des états connus, et ou on va demander au secours à une autre machine pour savoir quoi répondre).

ACPI et routine de traitement de la SMI: des limites à l'informatique de confiance?

Bon, comme quoi il y a toujours une exception aux règles: on a eu droit à une démo simple et redoutable, qui a d'ailleurs engendré des applaudissements spontanés de l'assistance.

La démo était pourtant simple: sur un portable avec une mandrivia dessus, Loic se connecte sur un compte "démo", et vérifie (whoami) qu'il est bien l'utilisateur "demo".
Ok, jusque la, ca reste du domaine du faisable........
Mais en déconnectant/reconnectant quelques fois d'affilée le cable secteur de son portable, puis en se reconnectant en "demo", pouf, il est devenu root !!!


Quelques explications techniques plus tard, il s'agit en fait d'une manipulation des tables ACPI, que l'OS appelle "betement", sans vraiment savoir ce que font ces méthodes ACPI.

Conclusion sans appel: sur les architectures classiques (un PC, quoi, et la, ca vaut aussi pour un MAC, quoique je me demande si le MAC de ma soeur était un des derniers MAC sous PowerPC ou un des premiers sous X86....), l'informatique "de confiance" n'est pas possible, à partir du moment ou on est l'OS, il y a moyen de gruger.

Pause café...

Au SSTIC, la pause café, c'est sympa......

pause

Compromission physique par le bus PCI

Bon, de loin, ca ressemble clairement à ce qui avait été présenté l'année dernière, mais avec du Firewire. Bluffant, mais je connais déjà la fin de l'histoire.

La conf s'axe quand meme également sur l'aspect matériel, puisque les auteurs ont créé leur propre carte PCI, et détaillent cet aspect.

Bon, par contre, c'est une attaque qui, à mon sens, nécessite d'ouvrir physiquement la machine, et une fois que c'est fait, on a déjà tout un pannel de possibilités d'attaques dessus......... Ou alors faut attaquer un portable qui possède encore un port PCMCIA.......

A quand l'attaque via le port ISA ? :-)

Cinq questions sur la vraie utilité de l'ISO 27001

Aahhhhh.... normalement, ca, c'est LA conf chiante de la semaine..... un truc sur une norme bien lourde, en fin de journée, le piège fatal.....
Et en fait non, pas tant que ca, le conférencier (un gars de chez Hervé) présente de facon assez légère l'artillerie lourde qu'est ISO 27001, pour finalement conclure que, comme toutes les normes de certifications, y'a ceux qui s'en servent comme "guide de bonnes pratiques", et qui peuvent y gagner en niveau de sécurité, et ceux qui "visent le label", qui trouvent toujours moyen de contourner le bidule pour avoir leur certification ISO 27001 tout en restant tout pourris au niveau sécurité.....

Challenge SSTIC

Il y a quelques semaines, l'équipe du SSTIC avait envoyé un challenge. C'etait un fichier brut en apparence, en fait une image de disquette qui bootait sur un noyal Linux, qui demandait un mot de passe et qui marquait "FAIL"......

Sur le coup, j'avais vite laché l'attaque du noyal en question, et les explications d'aujourd'hui m'ont confirmé que j'ai bien fait.....
Je regrette juste de ne pas avoir perséveré dans la voie que j'avais tenté: faire une attaque directe sur le serveur SMTP de SSTIC, puisqu'on validait la réponse en envoyant un mail à une adresse directement dépendante du mot de passe.........


Sur ce, c'est pas tout ca, mais la journée n'est pas finie, faut encore aller manger, causer avec des gens qu'on a vu aujourd'hui, tout ca !!!

SSTIC09, Day0

I'm alive.

Oui, cher lecteur, il y a encore de la vie sur ce blog, malgré un mois de mai pour le moins creux (je reviendrai ultérieurement sur les raisons de cette période, pas tant que ca liée à la crise), commencons donc le mois de juin en force: au SSTIC.

Cette conférence, organisée tous les ans à Rennes, parle essentiellement de sécurité informatique, avec des geeks poilus, des présentations en ASM, et des Zero days en veux tu en voila......

La conf dure 3 jours, et, faisant partie des chanceux, je suis arrivé la veille au soir (c'est nettement plus sympa de passer le mardi soir à la terrasse d'un café a Rennes que se lever à 3h du matin le mercredi pour prendre le train......).

Et, pour reprendre l'habitude que j'avais pris l'année dernière à la BSDCon, c'est reparti pour 3 jours de "live-blogging" (à prononcer comme "serial killer") intense, pour que les pauvres stagiaires restés au terril puissent quand meme baver un peu sur leur clavier de PC (attention, la bave peut abimer un clavier.... quand c'est un clavier a 10 euros, on s'en fout, mais pour les claviers à super cher, ca craint quand meme.....).

Pour des raisons d'hygiène, cette session de live-blogging sera répartie en plusieurs billets (un par jour, ok, c'est assez banal, comme répartition, mais ca a au moins le mérite de fonctionner.....).


Et du coup, l'ensemble des billets est succeptible de modifications pendant ces prochains jours, à commencer par celui-ci, que je reprendrai dans la journée pour vous raconter hier soir....


Ah, et je ne rentrerai pas trop dans les détails techniques des confs, d'abord parceque ma soeur n'y comprendrait absolument rien et s'inquièterait de l'état mental de son frère qui dit des trucs incompréhensibles, ensuite parceque, comme l'année dernière, Sid le fait déjà bien sur son blog, avec plein de liens techniques, des voisins de derrière qui lui assurent la correction orthographique, etc.....