Ma petite parcelle d'Internet...

Avant la conférence...

Je suis arrivé à Jakarta le 27 octobre via Amsterdam, puis Kuala Lumpur, malgré mes réticences à voler sur l'airline que j'ai prise. Je suis cependant mauvaise langue, dans la mesure où le vol s'est fort bien déroulé. Atterrissage en milieu d'après-midi, accueil efficace^[1], arrivée rapide à l'hôtel, hop hop hop. Ça me laissait même le temps d'aller boire un verre avec les organisateurs.

Lendemain et surlendemain consacrés à se lever tard pour récupérer ce qui restait de décalage horaire et à tourner dans Jakarta. À éviter, les retours en pleine heure de pointe. Genre Paris un jour de grève générale des transports. Sauf que là-bas, c'est tous les jours comme ça, vu qu'il n'y a pratiquement pas de transports en commun :/

Mardi 30 octobre 2007 - Jour 1

La conférence commence par une allocution de M. Mohamad Nuh, ministre des communications et de l'information. Il a fait son discours en indonésien. En l'absence de traduction simultanée, j'ai préféré ne pas m'éterniser dans la salle. Suivait la keynote de Jos Luhukay, également en indonésien. Finalement, j'aurais dû rester plus longtemps au lit...

C'est à ce moment là que se séparent les deux tracks. Je penche pour le track technique qui commence avec une veille connaissance. À tous les sens du terme.

• Attacks, for fun and profit, but not only, Frédéric "Pappy" Raynal, Sogeti, également rédacteur en chef de MISC pour ceux qui ne situent pas le personnage. Oui, celui qui pond les éditos rigolos. Ou pas. Le talk est une mise en perspective de techniques courantes d'attaque, d'histoire et de réflexion sur l'utilisation de l'information dans un contexte offensif. Pas de quoi faire sauter au plafond un féru de sécurité, lecteur attentif de MISC qui plus est, mais intéressant tout de même.
• Hacking sucks, why Hash makes the hurting stops, The Grugq. Il nous présente un environnement dédié au test d'intrusion dans lequel la plupart des opérations classiques traditionnellement faites à la main seraient automatisées, voire transparentes pour l'auditeur. Hash est donc un shell fournissant des commandes et fonctions internes censée nous faciliter la vie de tous les jours, comme établir des shells distants, mettre en place de l'évasion, de l'anti-forensic, du transfert de fichiers, nettoyage, exécution en mémoire, etc. Le discours est sympa, maintenant, je dois avouer que la démo ne m'a pas convaincu. À tester.
• How to catch a DDoS kiddie, Fredrik Soderblom, XPD Systems AB. Bonne présention dans laquelle il nous raconte une traque au kiddy qui commence par une joute verbale sur IRC et se termine au tribunal suite à léger DDoS. À lire.
• Recent Trends in Local Hacking Community, A. Muammar W.K et Mulyadi Santosa, Echo RDC Collective. Un talk sur les tendances du piratage en Indonésie. J'ai trouvé que le discours manquait un peu de profondeur, restant trop au niveau du déballage de defacing et autres "évènements fâcheux". Peu d'analyse, pas de mise en perspective, en particulier vis-à-vis du reste du monde, ou ne serait-ce que de l'Asie. Pour être franc, je me suis un peu ennuyé...

Ensuite, c'était le tour de Raffael "Raffy" Marty avec ''Insider Threat Visualization, Where is Waldo? à laquelle je n'ai pas pu assister puisque j'intervenais en même temps dans la salle à côté. Lisez tout de même les slides, ce n'est pas inintéressant.

Bref, somme toute une bonne journée. Un peu courte à mon goût cependant.

Mercredi 31 octobre 2007 - Jour 2

Cette fois, pas de keynote ou autre session plénière. Ça attaque direct à 9h00.

• Hacking with AI Explained, Fyodor Yarochkin. Sa présentation portait sur un framework à base d'agent intelligents. Je me suis demandé par moment si on ne sombrait pas dans le slideware, mais connaissant Fyodor^[2], j'en doute. On parle donc d'agents utilisant des outils relativement standards pour scanner leurs cibles selon des motifs particuliers. C'est un peu dur à résumer aussi je vous laisse lire les slides. L'idée est pas mal, mais je demande à voir quand même, d'autant que je ne suis pas d'accord avec tout.
• Hijacking Virtual Machine Execution for Fun and Profit, Nguyen Anh Quynh, National Institute of Advanced Industrial Science and Technology. Encore le même talk. Le même qu'à Syscan en particulier. Même avis : il devrait changer de sujet ou trouver de nouvelles applications et passer l'essentiel de son intervention dessus. Le fait que l'hôte puisse contrôler les machines virtuelles est une lapalissade, pas la peine d'y passer trente minutes...
• WabiSabiLabi, The Exploit Marketplace, Roberto Preatoni, WabiSabiLabi. Il a présenté sa vision du marché des failles et la place que voulait y occuper WabiSabiLabi. Décidemment, je n'adhère toujours pas. Pour info, Roberto serait sorti de prison. Est-il inculpé, accusé de quoi que ce soit ? Je n'en sais rien.
• Hacking a Bird in the Sky: Exploiting Satellite Trust Relationship, Jim Geovedi et Raditya Iryandi, Bellua Asia Pacific. Nouvelle version de leur présentation sur les satellites, tournée cette fois vers l'exploitation des relations de confiance. Du bon gros hijacking de canal de communication en gros. Pas mal, mais j'attendais plus par rapport à l'an dernier. À noter que leur attaque ne concerne pas le canal de contrôle du satellite, seulement les communications qu'il relaie.
• Are Identity-based Security Schemes Going to Save Our LANs? par votre serviteur. C'est une présentation dans la même veine que celle d'Ofir Arkin sur le 802.1x et les divers NAC, mais moins technique et plus générale. En gros, s'interroger un peu sur la pertinence et l'efficacité de ces fonctionnalités, pour aujourd'hui d'abord, puis à long terme.

La conférence s'achevait sur un session plénière de Fetri Miftach et Krisna Nugraha, Bellua Asia Pacific, avec Integrating Security into your IT Service Management, un bon gros slideware sur la mise en place de sécurité dans les offres de gestion de la sécurité^[3], limite commercial, qui a eu l'air de plaire à la foule cependant. Ceci étant, j'ai pas mal discuté avec Fetri dans la mesure où il vient du monde de l'aéronautique, avec un passage chez Airbus en particulier. Comme quoi, le monde est petit...

Suivait une soirée à la boîte de l'hôtel, animée par Jim et Radit, suivie d'un saut au Red Square, un bar techno à la mode à Jakarta.

Après la conférence...

Nous sommes partis le vendredi soir pour Bali. Kuta pour être plus exact. En gros, nous avons passé presque deux jours dans le coin le plus touristique et inintéressant^[4] de cette île qui a pourtant l'air, et la réputation, de regorger de trésors. Nous nous sommes consolés avec une séance de plongée, avant un retour anticipé vers Jakarta avec Fred tellement nous n'en pouvions plus. Raffy de son côté a bougé vers le nord pour passer une dizaine de jours dans l'île. Ce que je ne manquerai pas de faire si prochaine fois il y a.

Et puis retour vers Paris, toujours via Kuala Lumpur, avec un arrêt légèrement plus long que prévu suite à une panne moteur, et enfin Amsterdam. Voilà, c'est tout.

Conclusion

Bonne conférence, un poil moins bien que l'an dernier cependant, mais de bon niveau. Pour les curieux, les photos sont bien évidemment en ligne.