Bellua Cyber Security Asia 2006
Par Sid,
jeudi 7 septembre 2006 à 13:05 :: Conférences
:: lu 3981 fois :: #117
:: rss
:: atom
Read it in english with Google
a conférence Bellua Cyber Security Asia 2006 se tenait les 30 et 31 août 2006 à Jakarta, Indonésie. Il s'agit, avec SyScan et Hack In The Box, d'un des évènements majeurs en sécurité informatique d'Asie du sud avec près de 300 visiteurs cette année. Une excellente occasion pour franchir l'équateur.
Comme l'an dernier, deux séries de présentations étaient proposées, un Business Track pour les managers de la sécurité et un Technical Track pour les gens plus terre à terre. Comme vous devez vous en douter, je n'ai pas participé ou assisté au premier, des titres cabalistiques comme "Implementing an ISMS using ISO 17799 and ISO 27001" ou encore "ISO27001, Cobit & ITIL" étant vaguement synonyme d'atroces cauchemars. Ceci étant, il en faut pour tous les goûts, et certaines interventions avaient l'air plutôt intéressantes. D'ailleurs, c'est Fabrice qui a remporté le prix du meilleur orateur. Comme quoi...
Mercredi 30 août - Jour 1
Premier jour marqué par la découverte amusée du stand Microsoft avec ses "hôtesses" un peu particulières. Les mauvaises langues ne se sont pas privé de lancer que ces armures sont à l'image de la sécurité de leurs produits : c'est beau, mais en dessous, c'est rien que du carton. En outre, je n'ai pas pu assiter à toutes les interventions...
- Ouverture des hostilités par Tony Chor de Microsoft sur Internet Explorer 7 et Vista. C'était sympa, même si MS, IE, Vista et tout ça ne sont pas ma tasse de thé. Ça montre qu'il y a quand même des gens qui phosphorent sur les problèmes de sécurité du côté de Redmond.
- Suivait Jesse Burns de iSec Partners sur le fuzzing des IPC Win32. Très à la mode ces temps-ci le fuzzing... C'est vrai que quand on voit les résultats, y'a de quoi s'y mettre. L'accent était mis ici sur l'escalade de privilège. Très intéressant.
- Paul Boehm nous a fait un excellent speach sur l'écriture de code sécurisé, présentant méthodes, techniques et outils disponibles pour le programmeur. Contenu dense, qui aurait été parfait dans un article, mais pas en allemand de préférence ;)
- Meder Kydyraliev a présenté les travaux qu'il conduit avec Fyodor Yarochkin sur des méthodes de sécurisation d'applications web. Sécurisation n'est cependant pas vraiment le mot, s'agissant plus de résistance aux attaques en utilisant de la détection, des honeytokens, etc. L'ensemble ressemble alors plus à un gros sac à pièges pour détecter rapidement et banir les attaquants. C'est très grossier comme description et pas représentatif de l'ensemble, mais c'est l'idée principale.
- Raffael "Raffy" Marty a enchaîné avec la visualisation des données de sécurité et l'outil AfterGlow. C'était le même sujet qu'à Eusecwest/core06 avec les améliorations apportées entre temps. L'approche est très originale et les résulats sont assez surprenant, voire déroutant. À tester.
- Enfin, une table ronde à laquelle je participais sur l'éthique du hacker[1] (au sens noble du terme). Ça s'est bien déroulé, et plutôt calmement malgré des prises de position assez tranchées. Le débat est en effet resté assez centré sur les conditions du dialogue entre les différents protagonistes avec une notion de respect sur laquelle les gens semblent globalement d'accord. Sinon, on a évidemment abordé le marché des failles, la mafia, les services d'alerte anticipée aux abonnées, les relations avec les éditeurs, la responsabilité des éditeurs, la guerre numérique, etc. Pas mal de réaction dans l'assemblée, dialogue instructif.
Jeudi 31 août - Jour 2
- Philippe ouvrait la journée avec la sécurité de SCTP et de ses déploiement dans les réseaux d'opérateurs SS7. Excellente présentation que je ne me risquerai pas à résumer pour ne pas la défigurer.
- Ensuite moi, sur les réseaux Wi-Fi ouvertes, type mesh-networks et hotspots. Vous pouvez télécharger mes slides dans la section qui va bien. Je vais mettre en ligne la v0.4.0 de Wifitap probablement la semaine prochaine, j'ai encore un petit bug à identifier clairement.
- Jim Geovedi et Raditya Iryandi nous on proposé un talk excellent sur la sécurité des accès broadband satellitaires VSAT. Au programme, analyse du système et mise en pratique, avec récupération des flux de données à partir d'une (grosse) parabole. En gros, pour résumer l'idée, tout circule en clair. On se place en sortie de parabole, on accéde tranquillement à tous les flux transitant par le satellite en question (data, vidéo, voix, etc.). Niveau de sécurité : voisin de zéro. Sacré boulot agrémenté d'une vidéo qui devrait bientôt être en ligne (j'espère).
- Le Dr. Onno W. Purbo nous a gratifié d'une magnifique présentation du hacking (toujours au sens noble du terme) en Indonésie avec pas mal d'exemples de projets. En particulier, le développement d'un réseau communautaire offrant de la voix sur IP aujourd'hui pleinement fonctionel et dont les membres négocient aujourd'hui avec le gouvernement et certains opérateurs des passerelles vers le réseau téléphonique classique et des numéros à distribuer à leurs adhérents.
- Ralph Logan nous a entretenu des derniers avancement du Honeynet Project avec en particulier un projet répondant au doux nom de CHARM qui consiste grosso modo à truffer son infrastructure de honeytokens pour chopper les employés déviant vers le côté obscur. Pas mal.
Conclusion
Excellente conférence qui attire pas mal de monde, tant dans les cercles techniques que business. Juste dommage qu'il n'y ait pas quelque chose pour amener les deux monde à se rencontrer et se confronter. Une ou deux tables rondes communes auraient pu aller dans ce sens cependant.
Mes photos sont en ligne.
Les slides des conférences ont été mis en ligne.
Notes
[1] (Un)ethical Hacking... where is the line?
Commentaires
1. Le vendredi 8 septembre 2006 à 11:10, par jme
Réponse de Sid
2. Le vendredi 8 septembre 2006 à 22:19, par Yann
Ajouter un commentaire