Réveil difficile....
Le matin au SSTIC, c'est pas très fréquent d'avoir tout le monde à l'heure pour la première conf.
Bon, en même temps, cette année, il y a également des travaux sur les routes partout autour du campus, ce qui n'aide pas à arriver à l'heure.
Entre ça et la météo pourrie, je me croirais à la maison !
Pour le remplissage de l'amphi, donc, cette année ne déroge pas à la règle:
Faut dire aussi, le premier sujet du matin est un classique du genre ici: une conf sur les javacards. Pour ma sœur, et pour ma blonde préférée, non, on ne va pas parler ici des cartes de vœux en java que n'importe qui peut s'envoyer par mail (en faisant la recherche en français pour le lien, j'ai trouvé que ca, pourtant.....), mais de cartes format "carte de crédit" dans lesquelles on fait tourner des applications en java. Et la, bah on veut de la sécurité, alors qu'on a déjà pas beaucoup de place pour faire tourner les machins......
Donc, disais-je, ce genre de sujets est un classique ici: il y a tout à fait sa place, ca parle de sécurité, c'est technique, tout ca, et pourtant, personne ne vous dira clairement que ca le passionne d'écouter...... certains sous-entendront même que bon, pas de chance, pendant cette conf la, ils avaient piscine, tout ca.....
Du coup, en caler une en première conf un matin, je soupçonne quelques personnes de s'être dit "si j'arrive un peu en retard à celle la, c'est pas très grave......."
Pendant que l'amphi se remplit (plutôt bien, faut reconnaître).....
La conf est finalement assez conforme à ce à quoi je m'attendais: c'est technique, c'est probablement très intéressant pour les gens qui s'intéressent au sujet, et pour les autres, bah on suit vaguement, en se disant "waw, ca à l'air pas mal, faudrait que je regarde le sujet d'un peu plus près un de ces jours", mais on le fera jamais, même un dimanche après midi quand on aura zappé 3 fois l'ensemble des chaînes à la télé pour constater qu'on a le choix entre un épisode de Friends qu'on a déjà vu 0xFFFF fois, Derrick ou un truc de télé réalité (faudra que je regarde un truc de télé-réalité un de ces jours, je suis même pas foutu de citer un exemple)........
La conclusion me fait quand même un peu froid dans le dos: "la carte d'exemple implémente toutes les sécurités de la norme, plus des sécurités complémentaires, mais c'est pas grave, on sait la péter et en faire ce qu'on veut....."
Ah, on parlait de classiques, justement.... celle ci en est un autre: l'attaque par un vecteur matériel.
On a vu il y a quelques années l'attaque par canaux DMA (via Firewire), l'attaque par le bus PCI, cette année, c'est par PCI Express, faut bien se moderniser un peu (est-ce que quelqu'un présent au premier SSTIC peut confirmer qu'il y avait bien une attaque par bus ISA présentée cette année la ?).
Autant la première année, on trouve ca bluffant (surtout l'outil d'exploitation mémoire présenté par l'attaquant Firewire), mais au bout d'un certain temps, on finit par juste écouter d'une oreille distraite en se disant à un moment "ah ouais, en pétant la mémoire comma ça aussi, ça fonctionne..... logique......".
Bah voila, via PCI Express aussi, ça fonctionne....... la démo d'attaque directe du contrôleur clavier est marrante, faut reconnaître.
Sujet qui m'intéresse pas mal à priori, et qui est présenté ce matin par un représentant (ouch, le directeur juridique, qui attaque sans slides....) d'une société que je ne peux plus critiquer depuis quelques jours, pour raisons familiales, dirons-nous.....
Décidément, les subtilités juridiques, c'est pas mon truc..... le sujet reste cependant très intéressant, pour toute personne qui peut un jour se retrouver "hébergeur"..... et vu la définition, rien qu'en autorisant les gens à poster des commentaires sur ce blog, apparemment, je suis hébergeur......
Au moins, la conf sans slides, ca permet de faire une vue du fond de salle:
Pause
Pendant ce temps, il y a des orgas de corvée d'accueil qui bossent dur:
Et nous, on peut méditer tranquillement en profitant du jardin "ambiance japonaise"...
Et les fumeurs peuvent s'entasser à l'abri:
Résultat du challenge SSTIC
Un peu de stats sur le challenge, cette année, il semblerait qu'aucun bourrin n'ait tenté le bruteforce sur les emails (faut vraiment être vicieux pour avoir des idées comme ca..... faudra que je pense à releaser le script sous une licence opensource quelconque un de ces jours......).
Le challenge de cette année était finalement aussi compliqué à créer qu'à attaquer..... c'est déjà ca comme consolation ! Alors que pourtant, il y avait de supers lots à gagner, pour motiver les gens:
La solution présentée est assez dense en "et la ca se complique", "la ça devient vicieux", etc..... et l'auteur mérite vraiment sa salve d'applaudissements !
Pour les plus pressés, en attendant la publication des solutions officielles, une autre solution est déjà en ligne
Présentations courtes
Nouveau format cette année, plus court qu'une présentation normale, mais plus long qu'une rump..... voyons ce que ça donne.
Elsim + Androguard: détection de bibliothèques ?
Bon, honnêtement, entre suivre la conf et pouvoir faire mumuse tester un 5D MkIII sympathiquement prété par l'ANSSI mon voisin, j'ai craqué :-)
(mais non, je ne changerai pas pour l'instant, même si la différence de bruit au déclenchement est impressionnante)
Dissecting Web attacks using hosted honeypots
Heureusement qu'il y a des gens sérieux qui blogguent aussi, j'avais même pas eu le temps de recopier le titre de cette présentation jusqu'au bout (et elle n'apparait pas sur le programme du SSTIC, qui dit juste "présentations courtes").
Bon, vu le sujet, et maintenant que vous avez le lien direct n0secure à portée de souris, hein.......... surtout que j'avais pris il y a quelques années déjà la bonne résolution de ne plus jamais parler ici de pots de miel........
Durcissement de programmes C avec SIDAN
Ah, voila un sujet qui devrait nettement plus accrocher mon attention !
L'outil en question fait donc une analyse puis une instrumentation d'un programme (en C, donc) pour vérifier des invariants..... dans l'idée de base, ca me fait un peu penser à PaX présenté hier en keynote, ou j'en tire la même conclusion: j'aimerais bien pouvoir dire que ces outils sont inutiles et qu'il "suffit" de programmer correctement, mais dans la vraie vie, ça ne se passe pas comme ça........
Je suis aussi assez curieux de voir si cette instrumentation est efficace sur tout type de code en C.
On finit sur une démo, en live, ces jeunes qui ne se rendent pas compte des risques énormes de ce genre d'exercice..... heureusement que l'équipe d'orga est rodée:
Ouais, encore un sujet qui me passionne..... et vu le nombre de gens qui sortent de l'amphi avant le début de cette présentation, je suis pas le seul......
Pause déjeuner
En arriver à finir les assiettes des autres au RU, franchement, je commence à me faire flipper, la......
A priori, tout le monde attend cette conf avec beaucoup, beaucoup d'impatience......
En cause, en particulier, l'actualité très récente liée à l'auteur de la pres (merci à Ronan pour le billet très détaillé sur le sujet, ca m'évite de devoir le faire :-) ).
En gros, un blogueur très connu, qui gardait bien son anonymat, se serait fait "péter le blog" (comme on dit pas très courtoisement), hier ou ce matin, et son identité réelle a été révélée par l'attaquant, sur le site même (note pour moi même: j'ai bien fait de pas faire un blog anonyme, comme ça au moins, c'est une raison de l'attaquer en moins......). Sauf que, sur le programme du SSTIC (lien du titre), c'est bien indiqué "Par Mem Zythom"..... mais forcément, j'avais pas fait gaffe avant si c'était déjà indiqué comme ça, ou si ça a été modifié à l'arrache, maintenant qu'on sait, de toutes façons.......
Suspense, donc, pendant encore 20 bonnes minutes avant le début !
Bon, bah voila, c'est pas un fake, donc, comme il le dit lui même: il fait maintenant partie du club des défacés anonymes (lu sur twitter: "Si à 50 ans ton blog n'a pas été défacé, c'est que t'as raté ta vie numérique")....
En exclu intergalactique (et après demande à l'intéressé, Ze photo :
Après un point sur cette actu, la vraie conf commence..... et faut avouer, il sait donner envie de devenir expert judiciaire !!!
Pour les statistiques: ca y est, on aura parlé de Photorec cette année.
Partie intéressante, et je m'étais souvent posé la question: la technique de sécurité la plus "balaise" qu'il a du contourner dans son activité, c'est un truc chiffré avec TrueCrypt, et encore, y'avait le mot de passe correspondant qui trainait sur un fichier du disque......
Autant dire que des gars vicieux capables de concevoir un challenge SSTIC seraient tranquilles pendant des années s'ils voulaient planquer des trucs (ou alors faudrait déclarer les challengers comme experts judiciaires ?).
En conclusion, un métier une activité complémentaire qui a l'air très intéressante, mais aussi pas mal éprouvante selon les dossiers qu'on doit traiter, et pour laquelle on rencontre des problèmes très variés, y compris l'épineux problème de la déclaration de ses revenus d'expert judiciaire pour les impôts !!
Je vous ai déjà parlé de mon allergie notoire aux pommes ? non ? on y reviendra dans le billet sur le social event, alors.......
Pendant ce temps, y'a un pauvre gars devant moi qui perd la moitié de son écran à chaque fois que je fais une photo:
Les rumps
Comme tous les ans, c'est un moment fort du SSTIC, et ça se pousse au portillon pour venir rumper comme des oufs:
En regardant de plus près, on notera que, d'une personne à l'autre, la concentration n'est pas la même:
Comme tous les ans, la règle est simple: 3 minutes 30, cette année, pas une seconde de plus (les applaudissements du public seront la pour couper la présentation), un poil de rab est raccordé au cas ou un rumper toucherait le saint graal (non, rien à voir avec un pot de miel !): un public médusé qui le laisse continuer au dela du temps limite.
Mais revoyons la scène au ralenti (en espérant qu'ils soient bien passés dans l'ordre annoncé, ou en espérant que je me rende compte d'une inversion, ce qui n'est pas gagné d'avance....):
Logo SSTIC
Bah.... on a échappé à des trucs....... originaux.......
Fingerprinting de navigateurs webs
Erwan avait présenté l'année dernier un toolkit pour faire mumuse avec du XSS. Depuis, il s'est rendu compte que, en fonction du comportement d'un navigateur par rapport à quelques tests, on pouvait facilement l'identifier, voire le classifier.
L'idée a l'air intéressante, quoique j'ai pas bien compris l'intéret des graphes à la fin.
Par contre, le style rappeur, c'est original:
DNS finger
Euh.... j'ai rien compris à l'intéret du truc présenté..... par contre, il a pas précisé si c'était certifié ISO 27001.......
Edit
Depuis mon retour du SSTIC, j'ai été sympathiquement contacté par Florian (l'auteur de la rump), qui m'a envoyé le papier de la rump en question.
La première information que j'en ai déduit, c'est qu'il y a donc de vrais gens qui lisent ce blog..... il va donc falloir que je commence à faire attention à ce que j'écris !
Ou alors je mettrai un plus gros disclaimer au début des billets "live blogging"....... ouais, je vais faire ça, en fait......
Sinon, en lisant l'abstract (ouais, je fais mon gars super occupé qui n'a le temps de lire que les abstracts :-) ), je comprends un peu mieux le "pourquoi" du truc.
Si j'étais le genre de gars à faire des raccourcis à 2 balles (et encore, c'est parce que j'ai pas la monnaie sur moi), je reprendrais un résumé fait par une personne que je ne nommerai pas qui a dit un truc genre "c'est LDAP over DNS".
Il se trouve que je suis effectivement le genre de gars à faire des raccourcis à 2 balles, mais présentement, j'ai choppé une info dans l'abstract qui a attiré mon attention: une partie de la mécanique sert à générer / utiliser des clés de chiffrement/signature utilisateurs, typiquement pour ses mails, sans avoir à sortir l'artillerie lourde d'une PKI.
Et autant ma sœur ou ma blonde préférée peuvent compter sur leur informaticien de service pour monter une PKi et leur signer leur certificat (enfin, une fois que j'aurai réussi à les convaincre que ça sert à quelque chose, forcément....), autant pour le voisin de la grand tante du cousin par Germain de la marâtre de tata Lucette, je vais pas forcément faire l'effort (d'autant plus que, en y réfléchissant bien, je n'ai pas de tata Lucette, de toutes façons.....).
Conclusion: bah va falloir que je trouve du temps pour lire l'article........
Entre temps, les slides et le papier court sont en ligne.
botnets.fr
Fuzzing de wireshark
Wireshark est ZE outil utilisé par plein de monde pour observer ce qui se passe sur les réseaux (analyser un problème, etc....). Il sait décoder une quantité monstrueuse de protocoles..... ca représente beaucoup de lignes de code.... donc des bugs potentiels, forcément.
Comme les données arrivent en direct du réseau, et que wireshark tourne souvent avec des privilèges élevés (pour pouvoir écouter tout le réseau, justement), c'est une cible de choix pour une attaque, et c'est donc intéressant de chercher ces éventuels bugs pour les corriger.
En résumé, on voit les choix de fuzzing du rumper, qui lui ont permis de trouver plusieurs crashes.
Un outil de décompilation de bytecode python
Y'a des gens qui ont posé des questions, j'en déduis que c'était intéressant pour quelqu'un que ça dérange pas de passer son temps à compter les espaces pour débbuguer.......
Reverse engineering d'une ROM GBA
Enfin des gens qui bossent sur des trucs utiles, qui vont limite changer la face du monde. Je n'ai pas de mots pour le décrire, le plus simple est de vos montrer le résultat lors d'une partie en live de Pokemon:
XMCO Wolfy
Euh.... me souviens plus..... mais ils ont releasé une version spéciale SSTIC !
Hynesim 2.1
Coupé un peu vite par les applaudissements du public, ça fait quelques années qu'on voit les évolutions de cette appli, qui a l'air assez puissante pour déployer des réseaux de tests en masse.
.htaccess, miasm et sécurité web
Ou comment un gars a repéré, complètement par hasard, que le serveur du SSTIC a laissé trainer pendant environ 15 jours un .htaccess qui laissait l'accès à toutes les confs soumises et pas acceptées des années précédentes, et aux version beta des près de cette année.
On notera la réaction très rapide des admins SSTIC, qui ont corrigé le problème en moins d'1h après l'envoi de l'information.
Détail d'une opération
J'ai déjà pas compris ce que c'était "l'opération", alors de la à vous expliquer les détails.....
Scapy pipes
Phil nous présente une nouveauté de scapy présente depuis au moins 1 ans dans la version publiée, mais qui était apparemment passée innaperçu: un containeur qui permet de connecter des entrées et des sorties.... ca a l'air de rien comme ca, mais si je vous dis que Phil a tout simplement explosé le temps qui lui était imparti, avec un public silencieux qui voulait voir la suite, vous pourrez en tirer la conclusion évidente: allez voir, en plus y'a une documentation nickel ! ;-)
Et pour ceux qui se poseraient la question, Phil qui fait une démo sur un truc de pipes, ça ressemble à ça:
Android 0 Day hunting
Ou comment google laisse traîner des fonctions genre:
int check_machin(args){
/* TODO */
return 1;
}
qui permettent de passer n'importe quoi à des fonctions privilégiées.
grehack
Annonce d'une conf en fin d'année, à Grenoble, ville qui a l'air d'avoir des arguments qui méritent l'attention.......
Notez qu'on ne nous a pas formellement confirmé qu'elle serait présente à la conférence...... mais ça parlait aussi de bières (ils ont de la vraie bière, à Grenoble ).
Ah, et il est encore temps de soumettre ...... des sujets pour cette conf....
Ca recrute aussi à Rennes.....
Voila, voila.....
RMLL 2012
Bon, voila, les RMLLs ont lieu cette année à Genève, mais ils n'auront pas Katsuni, eux......
LibreOffHips
Nouvelle version du pare-feu officiellement validé par l'Hadopi..... ca rox des ours !
OpenSource forensics avec dff
Un outil bluffant pour aller chercher de la data. Une interface, des outils de recherche bien faits, déjà pas mal de formats de fichiers supportés..... allez voir, et contribuez !!!!
On notera aussi les choix vestimentaires d'un des auteurs.... décidément, les rumps sont chaudes, cette année !!!!
Struts
Executer du javascript dans un PDF
Exécuter un truc dans un PDF, en soi, c'est pas folichon, ni très nouveau.
La, y'a quand même un aspect technique intéressant: le code est embarqué en tant qu'image JPEG, et avoir une vraie image JPEG (ok, moche) qui est aussi interprétable en tant que code javascript, ca c'est marrant :-)
Attaque par relais sur smartcard
En gros, l'idée est d'émuler une carte de crédit, et pour être (un peu) plus discrets, on utilise un relai wifi et un dispositif embarqué.... à la photo, j'ai du mal à croire qu'un commerçant lambda n'aura aucun soupçon, mais bon, par rapport aux lasers que les rumpeurs utilisent d'habitude pour faire leurs malversations sur des cartes de crédit, je veux bien croire qu'il y déjà du mieux !
Criterium attack
Ou comment hacker un QR Code avec un crayon noir et du typex. Plutôt fun, comme idée, et en plus ca fonctionne (enfin, avec un delta de résultat assez léger, je suis curieux de savoir jusqu'ou on peut aller..... ca dépend probablement du niveau de l'attaquant quand il était en grande section de maternelle, en fait.....).
