Conférence BruCON 2013 (seconde partie)
Date : 11 Décembre 2013
En septembre, le Cert-IST a assisté à la conférence BruCON, qui s’est déroulée près de Bruxelles.
Le mois dernier, nous avons publié la première partie de notre compte-rendu pour cet événement. Nous publions maintenant la fin de ce compte-rendu.
Nota : Les présentations sont disponibles sur le site de la conférence (à cet emplacement). Pour chaque présentation, nous indiquons le lien vers l’enregistrement vidéo de la présentation et le lien vers le support de présentation lorsque celui-ci a été rendu public.
.NET reversing: The Framework, the Myth, the Legend (video, slides)
Présenté par : Aloria
Alors que beaucoup d’études (et de vulnérabilités) ont déjà été publiées à propos de Java, très peu de chose existent sur la technologie .NET. C’est une des raisons qui ont poussé Aloria à étudier ce domaine. Sa présentation explique comment elle a réussi à « reverser » une application .NET, puis à la patcher pour lui ajouter une fonctionnalité. Et visiblement ce n’est pas simple : beaucoup de données sont brouillées (obfuscated) de façon à rendre le code illisible, et le code est très difficile à reconstituer car beaucoup de structures (de code et de données) sont stockées dans des tables. Malgré ces difficultés, Aloria parvient à ses fins. La présentation est très technique, et les personnes qui se sont déjà intéressées aux "internals" de .Net trouveront sans aucun doute de précieux renseignements dans cette présentation !
Présenté par : Dan Guido (Trail of bits)
Dans cette présentation, Dan Guido effectue une mise à jour de l’étude EIP (Exploit Intelligence Project) qu’il avait publiée en 2011 à propos des cyber-criminels et de leurs modes opératoires. Il y montre que :
- Les groupes cyber-criminels (qui utilisent des crime-packs tels que BlackHole, Cool ou Sweet Orange) semblent avoir peu de savoir-faire technique, et peu de capacité d’innovation. En fait, ils se contentent d’intégrer dans leurs outils les vulnérabilités et exploits publiés par ailleurs (en particulier les exploits publiés par Metasploit). Selon l’orateur, un environnement Windows 7 à jour, s’il n’est pas équipé de Java, est hors de portée de ces attaquants.
- Les groupes APT (espionnage étatique) ont des compétences techniques bien plus élevées, qui leurs permettent de construire leurs propres programmes d’attaque et d’attaquer par exemple avec succès, des cibles comme Google (attaque Aurora en 2010) ou Bit9 (en 2013).
- Cependant le niveau de technicité déployé dans ces attaques APT est bien inférieur à ce que des étudiants qui suivent un cours spécialisé (tel que celui dispensé par Dan Guido à l’université de New York) produisent au bout d’un an. Les groupes APT se contentent donc visiblement de développer des attaques suffisantes pour compromettre leurs cibles : ils font juste ce qu'il faut, là où des étudiants font le mieux qu'ils peuvent.
Paint by Numbers vs. Monet (video)
Présenté par : Russ Gideon (AttackResearch.com)
L’orateur compare les techniques utilisées par les attaquants dans des APT, et celles utilisées par les pen-testers durant leurs audits. Globalement les 2 sont très proches :
- Les attaquants utilisent fréquemment des modules Metasploit dont ils ont personnalisé la charge utile.
- Ils utilisent aussi parfois des outils tels que Mimikatz (capture de mots de passe) et Psexec (module Metasploit permettant de créer une backdoor sur le système compromis). Mais comme ces outils sont très connus et donc repérables, les attaquants préfèrent maintenant utiliser des programmes similaires qu’ils ont ré-écrits par eux mêmes.
L’orateur recommande aux pen-testers (et aux commanditaires d’audit) d’orienter les tests d’intrusions pour simuler des attaques réelles (intrusion, propagation de système en système et exfiltration de données), plutôt que de se limiter à la recherche des vecteurs d’infection (les vulnérabilités). Cela permet de tester l’ensemble de la chaine de réaction mise en place au sein de l’entreprise.
A panel on DevOPS and Security (video)
Présenté par : Alex Hutton, David Mortman, Kris Buytaert, Patrick Debois
Le DevOps est un mouvement apparu en 2009 qui cherche à casser la frontière qui existe souvent entre le monde des développeurs et le monde des opérations. Cette session avait la forme d’une discussion qu’il est difficile de résumer. Le mouvement DevOps semble gagner en popularité. Il est parfois expliqué comme étant l’équivalent, dans le monde des opérations, de l’approche de développement Agile. Des outils comme Puppet ou Chef sont utilisés dans ce contexte.
Présenté par : Robert Graham
Les termes de « Data plane » et « Control plane » désignent la façon dont les logiciels sont architecturés :
- Le modèle « Control plane » désigne l’architecture classique, dans laquelle l’exécution est dirigée par la logique de traitement (approche fonctionnelle).
- Le modèle « Data plane » désigne une architecture dirigée en priorité sur le flux de données. Elle utilise typiquement des mécanismes tels que : entrées/sorties non bloquantes, threads indépendants, ring-buffers, etc.
Ces deux modèles sont actuellement utilisés principalement dans le contexte des architectures réseau et des routeurs logiciels (typiquement les SDN : Software Defined Networks), mais l’orateur propose de les appliquer plus généralement à tous les logiciels amenés à traiter de gros flux de données : serveurs DNS, serveurs web, etc. Pour lui, Apache+PHP ou Bind (qui sont construits sur un modèle « Control-plane ») ne sont plus adaptés au volume de trafic actuel. Afin de tester le modèle « Data-plane », l’orateur a développé deux outils :
- un serveur DNS baptisé « robdns ». Ce serveur est 100 fois plus rapide que Bind et traite 3 millions de paquets par seconde.
- Un scanneur de ports baptisé « masscan ». Ce serveur génère 25 millions de paquets par seconde. A titre de comparaison le scanneur rapide « Zmap » génére lui 1,3 millions de paquets par seconde.
Présenté par : Stephan Chenette (IO-Active)
L’orateur présente tout d’abord le fonctionnement général d’Android, puis passe en revue les différents types de malware qui existent. Enfin, il présente la démarche générale pour construire un malware Android.
Geolocation of GSM mobile devices, even if they do not want to be found. (video)
Présenté par : David Perez et Jose Pico
Les orateurs ont cherché à réaliser un système de localisation de téléphones GSM complètement indépendant des fonctions natives de localisation qui existent sur ce type d’équipement, et sans avoir accès à l’infrastructure opérateur. Le principe retenu est donc de construire une fausse station GSM (avec OpenBTS), d’observer le signal 2G reçu du portable (puissance du signal, délai d’acheminement) et de localiser l’émetteur par triangulation. Si le principe est simple, sa mise en œuvre pose un grand nombre de difficultés. La présentation explique pas à pas la progression du projet, et montre comment les différents obstacles ont été résolus.
- Supports des présentations :
http://files.brucon.org/2013/
- Comptes-rendus publiés sur Internet à propos de cette conférence :
http://www.cupfighter.net/index.php/2013/09/brucon/
https://www.attackdebris.com/?p=117