C'est encore une conférence à deux tracks parallèles. Et contrairement à Bellua dont un des deux ne m'intéressait pas, ici, les deux séries sont techniques, avec des interventions que j'aimerais voir des deux côtés. Il va donc falloir choisir, d'autant plus difficilement que certaines interventions parallèles m'intéressent. Grumpf. Je ne vous décrirai donc que celles auquels j'ai assisté, forcément, à une exception notable près cependant.

Jeudi 22 novembre - Jour 1

La conférence commence à 9h00 pêtantes. On n'est pas en Allemagne, mais son sent bien que c'est pas loin, ne serait-ce que par la langue. Un rapide mot de bienvenue de Paul Boehm, histoire d'introduire rapidement la keynote de Paul Simmonds du Jericho Forum, et c'est parti.

  • "The Business Case for removing your perimeter", Paul Simmonds, Jericho Forum. Pour situer le contexte, le Jericho Forum est un groupe qui prône la dé-périmètrisation des réseau, c'est à dire grosso modo la fin du firewall en tant que barrière ultime de protection. Le nom fait référence aux trompettes de Jéricho qui ont, d'après l'ancien testament, détruit les murs de la cité éponyme. Bref, un discours d'une heure pour nous expliquer que le périmètre est un doux souvenir, que ça ne marche pas et qu'il faut aller vers des stations qui s'auto-suffisent en terme de sécurité et des applications sûres s'appuyant sur des protocoles sécurisés. C'est beau, on a envie d'applaudir des deux mains tellement c'est plein de bon sens. Ou presque. Parce que quand il s'agit de passer à la mise en œuvre, désolé, mais ça pêche un peu. Ainsi, quand il nous vante les mérites de sa station auto-protégée, qui accède à tout sans VPN, je lui demande s'il n'a pas peur que les applications nécessaires pour inspecter son mail, son trafic web, son antivirus, etc. ne viennent pas ajouter des failles. Réponse : non, parce que ça ne tourne pas sur sa station, mais à distance. En bref, il a troqué un VPN IPSEC contre un lien TLS par application avec la maison. OK. En résumé, l'idée tient la route, mais je n'ai pas l'impression que la techno soit vraiment là pour le faire...
  • "Observing the Tidal Waves of Malware", Stefano Zanero, Secure Network. Stefano est une des rares personnes qu'il m'ait été donné de rencontrer qui peut vous parler intelligemment des IDS. Ici, il s'est attaché, dans une intervention non technique, à débattre de notre capacité à appréhender la menace qui pèse sur les systèmes d'information. Ou plutôt notre incapacité à le faire correctement par manque de données pertinentes. Il a passé en revue de nombreux projets à base de honeypots ou d'IDS distribués, le travail énorme de l'ISC, pour finalement nous décrire le système dont il rêve apparemment la nuit. J'ai l'air moqueur comme ça, mais c'était également plein de bon sens, et surtout à l'opposé de toute approche produit. Un système pour comprendre ce qui se passe. Ni plus, ni moins.
  • "Economics of Information Security", Tyler Moore, University of Cambridge. Un économiste qui s'attaque à la sécurité informatique. Il y a un an de cela, ça m'aurait fait sourire. Mais depuis que j'ai lu Freakonomics, je me dis qu'il y a matière à faire des choses. Il a commencé sur pleins de choses diverses et en particulier essayé de chiffrer la sécurité d'un système. Il émet l'hypothèse qu'un marché de la faille pourrait répondre à la question, en ce qu'une faille pour un système plus sécurisé se vend plus cher que pour un système faible. Ça pourrait être un superbe argument pour Roberto, s'il ne passait pas à côté de l'intérêt que peut avoir la faille. Pas mal de systèmes sont réputés faibles, mais tellement peu étudiés que la connaissance est rare. Et donc chère. Il est ensuite passé à l'étude d'un réseau de phishing particulièrement efficace. Basé sur l'utilisation combinées de ressources faisant intervenir des acteurs différents, ce groupe parvient à maintenir une base active impressionnante, malgré les efforts des banques pour faire fermer les sites. Recette ? Un grand nombre de machines qui hébergent pleins de sites jetables adressés dynamiquement par des noms de domaine non moins jetables. Une hébergement se fait fermer ? Ils modifient les entrées DNS du domaine. Un domaine se fait fermer ? Ils adressent le contenu avec un autre. Ils jouent ainsi sur le manque de concertation des acteurs (ISP, hébergeurs, registrars) pour accroître la durée de vie de leurs sites. Et ça marche. Il démontre en effet avec un étude soignée que malgré une durée de vie des sites qui va en diminuant suite à une prise de conscience générale, le profit reste clairement intéressant. Ses slides valent le détour. Vous pouvez consulter le jeu qu'il a présenté en octobre à Pittsburgh puis que très proche de ceux qu'il a présentés.
  • "Intercepting GSM traffic", Steve. Une présentation intéressante sur les faiblesses du GSM, et en particulier le cassage de A5/1, le protocole de sécurisation du lien hertzien. Après nous avoir décrit le matériel utilisé, ainsi que la couche logicielle à base de GNU Radio, il montre un certain nombre de capture qui atteste du passage de certaines données qui ne devraient pas passer en clair, comme l'IMEI du téléphone ou l'identifiant de la SIM par exemple. Il va passer rapidement sur les projets OpenTSM et Debug Trace qui visent à modifier des firmwares de téléphones GSM pour les exploiter comme plate-formes d'écoute ou d'accès au réseau. Mais le cœur de la présentation porte sur la fabrication d'un cracker A5/1. À base de 2To de rainbow tables et de FPGA, l'auteur pense pouvoir proposer une boîte capable de casser n'importe quel message en moins d'une minute, SMS compris. Il a donné une présentation similaire au CCC Camp cet été dont la vidéo est en ligne, à défaut des slides...
  • "Windows Heap Protection: Bypassing requires understanding", Dave Aitel, Immunity. J4ai hésité un petit moment à y aller, dans la mesure où le titre est très proche à celle qu'avait proposée Nicolas Waisman à Syscan. Seulement voilà, en face, c'était un talk sur le web, le navigateur pour être plus précis, et j'ai décidé de ne pas aller les talks sur le web, quelle qu'en soit la version. En fait, la présentation de Dave s'intitulait "Using Immunity Debugger to Write Exploits", mais ressemblait énormément à celle de Nicolas. Typiquement, les deux derniers tiers des slides sont les mêmes. Ce n'est pas pour cela que ce n'est pas intéressant, loin de là.
  • "Security -- an Obstacle for large-scale Projects and eGovernment?", Thomas Maus. Un talk très engagé, et critique, autour du projet eHealth allemand sur la modernisation du système de santé. Pas mal de bons arguments, en particulier sur le coût du projet. Typiquement, les projets de modernisation sont toujours présentés comme du cost saving. Et ce n'est jamais le cas. D'une part parce que l'investissementy initial est tellement lourd que sa durée d'amortissement dépasse souvent la durée de vie des systèmes déployés, et d'autre part parce que ce coût est souvent mal estimé, allongeant la durée d'amortissement d'autant. Il est juste dommage que cette présentation soit trop restée au niveau du débat d'idées, sans accroche concrête. En outre, pour un français peu au fait de ce projet, c'était un peu dur à suivre.
  • "Attacking the Giants: Exploiting SAP Internals", Mariano Nuñez Di Croce, CYBSEC. Quand on parle de système réputé faible mais pour lequel on manque cruellement d'informations, on pense souvent à SAP. Cette présentation essaye d'apporter se pierre à un édifice encore à bâtir, en s'attaquant aux Remote Function Calls, couramment appelés, de SAP. Entre vulnérabilités, problèmes de conception et configurations fabiles, Mariano nous explique comme récupérer des identifiants, usurper des connexions, faire du MiM, etc. Du bon gros remote root sur SAP en résumé. Ça ressemblait beaucoup à ce qu'il avait présenté à BlackHat Europe ou à Hack.lu, mais comme je n'était ni à l'une, ni à l'autre... À noter qu'il donnait également un training sur le sujet.

J'ai raté la présentation de David Litchfield sur les backdoors Oracle. J'avais des coups de téléphone à passer et quelques mails à envoyer. Dommage. Ça a duré un peu en plus, ce qui m'a fait louper le début du talk, dont les slides sont disponibles, de Mark Curphey de l'équipe Microsoft ACE Europe sur la sécurité dans le développement logiciel qui avait pourtant l'air très intéressante, avec un passage très critique sur les certifications. J'ai d'ailleurs pu pas mal discuter avec lui, ce qui ne dément pas l'impression que j'ai eu de la fin de sa présentation.


Vendredi 23 novembre - Jour 2

La journée est ouverte par une keynote de Jeff Moss, Môssieur BlackHat.

  • "Reasonable Disclosure", Jeff Moss, Blackhat. Jeff nous a décrit l'affaire Michael Lynn à la BlackHat US 2005 avec son talk sur l'exploitation de l'IOS Cisco. Une vision de l'intérieure, de la part d'un des acteurs de l'histoire, qui méritait le détour.J'ai beaucoup aimé la constante comparaison entre l'attitude de Cisco et celle d'ISS, en particulier avec les seconds en mode damage control en catastrophe qui enchaînent les boulettes. La conclusion : si c'était à refaire, il le referait sans hésiter. Malgré la tonne de soucis et d'argent perdu qui allait avec.
  • "Automated structural classification of malware", Halvar Flake, Zynamics. Du grand Halvar, comme d'habitude oserais-je ajouter. Il s'est intéressé à la classification automatique de malwares, c'est à dire la capacité à les analyser et les comparer, malgré les mutations classiques qu'ils subbisent, packing en particulier. Après avoir expliqués quelques techniques qu'il juge limitées, comme cette modélisation des binaires en vecteurs qu'on compare en calculant leur produit scalaire, il est passé à la sienne, VxClass. C'est toujours aussi captivant, mais je dois avouer qu'en début de journée, avant le café, ça fait un peu mal à la tête.
  • "Collecting and Managing Accumulated Malware Automatically", Georg Wicherski, mwcollect.org. J'ai dû choisir entre deux sujets que j'avais déjà vu, et donc opter pour celui qui semblait avoir le plus évolué. J'ai donc pris celui sur mwcollect.org contre celui d'Alexander Kornbrust sur Orasploit. En outre, la présentation de cette infrastructure de collecte et d'analyse de malwares collait pas mal avec le sujet précédent. Ce fut un bonne piqure de rappel sur ce projet. Intéressant.
  • "Audit of the RFID ePassport and the concepts", Lukas Grunwald, Neo Catena Networks Inc. J'ai clairement hésité entre aller voir le talk sur le fuzzing WiFi, mais il y avait trop de chance que ce soit relativement bateau. En outre, on m'avait recommandé Lukas comme un expert du RFID. Soit. À l'inverse d'Adam Laurie, il ne s'est pas intéressé qu'à la lecture du RFID embarqué sur le passeport. C'est possible et démontré, il est passé rapidement dessus. Par contre, il a beaucoup parlé d'en modifier le contenu afin d'exploiter le backend. Il s'avère que les informations sont stockées dans une structure spécifique, ressemblant pas mal à de l'ASN1. Et si ces données sont signées, il se trouvent qu'elles sont toutes lues et interprêtées avant la vérification de la signature. Ce qui ouvre une fenêtre de tir non négligeable pour l'exploitation d'une faille, comme par exemple dans la bibliothèque JPEG chargée de lire la photo...
  • "Fuzzing and Exploiting Wireless Drivers", Sylvester Keil et Clemens Kolbitsch, Vienna University of Technology. Oui, j'ai loupé le talk, mais il était quand même original et c'est pourquoi j'y consacre un passage. Les auteurs ont en effet présenté un outil de fuzzing virtuel basé sur Qemu qui permet donc de s'affranchir des problèmes que posent les expérimentations WiFi. Manifestement, ça marche pas trop mal puisqu'ils ont levé un bug dans Madwifi. Plus d'informations, dont les slides, peuvent être trouvée sur le site de leur projet, ViFuzz.
  • "The many dimensions of security in eVoting", Peter Purgathofer, Vienna University of Technology. Vous savez ce que je pense du vote électronique, pas la peine de revenir dessus. J'ai pu assister ici à un excellent plaidoyer, pas franchement technique, contre le vote électronique. L'essentiel de la présentation est consacrée à la problématique de transparence et de confiance. Tout en expliquant comment marche une machine à voter et les arguments avancés pour son adoption, il démonte tranquillement le système. La conclusion est intéressante. Elle m'a fait penser à cette phrase bien connue de Bruce Schneier : "If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology"[1]. Il avance en effet que le vote électronique est peut-être une mauvaise solution à un problème mal posé. À partir de là, il est clair que ça ne peut pas coller. J'ai particulièrement apprécié son exemple du mouvement des caissières en colère qui se met en tête de vérifier une élection, mettant en parallèle le niveau de contrôle qu'elle peuvent avoir avec un vote classique et avec un vote électronique. Pas mal. Pas mal du tout.
  • "Doppelgänger - novel protection against unknown file format vulnerabilities", Rich Smith, Hewlett-Packard Labs Trusted Systems Lab. Je suis peut-être passé à côté d'un point important, mais ça m'a fait l'impression d'un bon gros slideware. Rien qu'à lire la présentation du talk, ça n'augurait rien de bon. Mais comme je fuyais le web, j'y suis allé. En gros, il propose de prendre des formats de données et d'en altérer le contenu de manière aléatoire sans pour autant le perturber fonctionnellement. Pour se fait, il vise des objets précis connus pour embarquer du code malicieux. Pourquoi pas ? Sauf que rien ne garantit que le code sera là...
  • "Disruptive modernization of legacy systems", Shalom Carmel. Présentation sur la sécurité des AS400, aussi bien côté serveur que côté client, une fois la main prise sur l'application. J'avoue que je me suis laissé distraire tout au long du talk, mais ça avait l'air relativement bien. J'attends les slides pour compléter cette impression.
  • "Are the vendors listening?", Simon Howard, DMZGlobal. Simon a fait le voyage depuis la Nouvelle Zélande pour nous parler d'une comparaison qu'il a faite entre diverses passerelles de protection de messagerie et des clients, le tout sur la base du papier de 3APA3A intitulé "Bypassing content filtering software" initialement publié en 2002 et mis à jour cet été. Il a donc construit un jeu de test s'appuyant sur ces techniques pour comparer l'efficacité de ces outils et l'impact des tests sur les clients. C'est très éloquant et appelle effectivement la question de savoir si les éditeurs de ces boîtes lisent ce genre de papier... Il y a des résultats intéressants, comme des similitudes entre boîtes et/ou client qui fleurent le bon la réutilisation de code[2]. Surtout, il semble être parvenu à créer un email magique capable de faire passer un malware à travers toutes les boîtes[3] et le faire exécuter sur n'importe lequel des clients testés... En ne combiant que trois techniques d'évasion... Si j'ai trouvé la présentation limpide et impressionnante, je me demande plutôt si les clients écoutent, eux. Parce que d'une part toutes les boîtes citées bénéficient d'une clientèle forte et qu'elles sont d'autre part toutes très bien placées dans le Magic Quadrant de Gartner. So ?...


Les slides des présentations sont apparemment en cours d'upload, mais ça semble prendre du temps. Vous pouvez déjà trouver quelques sets sur le wiki de la conférence.

Comme plusieurs points de vue valent mieux qu'un, voici d'autres compte-rendus de cette conférence :


En conclusion, sur Deepsec : d'excellentes présentations, originales[4], des speakers majoritairement européens. Bref, une conférence d'une très bonne qualité technique. Par contre, le côté social a été oublié. L'idée d'envoyer les gens à la Cocktail-Robotics Party pouvait sembler une bonne idée, mais non en fait. Une salle bondée, enfumée et trop chaude, une queue interminable pour attraper un cocktail pas bon, certes servi par des robots rigolos, ont fait fuir la plupart des gens en moins de temps qu'il ne faut pour le dire. L'idée de faire la soirée au Metalab le lendemain de la conférence était clairement une erreur si le but était de faire rencontrer les participants de la conférence : pratiquement tout le monde était déjà parti, sauf les locaux, forcément. En gros, le networking s'est transformé en constitution de pleins de petits groupes qui passaient le peu de temps libre laissé par un programme très dense ensembles. Et puis il n'y avait pas de tee-shirts, ni de swag en général. Dommage...

C'est donc une très bonne conférence, qui parvient à s'imposer comme un rendez-vous européen incontournable dès la première édition, tout spécialement pour les g33ks fatigués qui n'aiment pas les gens et/ou préfèrent aller dormir après les conférences.


Côté sorties, il a donc fallu faire par nous-mêmes. J'ai profité du déplacement pour aller rendre visite à un très bon ami qui vit sur place. Il m'a sorti faire un tour des marchés de Noël. Il est clair que Vienne est une ville magnifique. Le plus gros marché est celui de l'Hôtel de Ville, c'est également le plus commercial si vous voyez ce que je veux dire. Cette longue ballade de nuit m'a permis de voir la plupart des monuments du centre éclairés, dont la sympathique ambassade de France.

Côté restauration, sujet manifestement très cher à jme, cette sortie a été placé sous le signe d'une spécialité locale, j'ai nommé l'escalope de veau ou de porc, dite Schnitzel. Sous toutes ses formes, et en particulier l'escalope de veau viennoise, ou Wiener Schnitzel. Et ça a commencé dès le premier soir avec un tour au Figlmüller, Bäckerstraße, dans le centre de Vienne, du côté de Stephansplatz, avec sa Figlmüller Schnitzel de 250 grammes. Excellent restaurant, rien à dire. Ensuite, le lendemain, un tour au Salm Bräu, une brasserie située non loin de l'hôtel apparemment incontournable pour la gastronomie locale. Enfin, dernier restaurant remarquable, le Zu den Zwei Lieseln[5] sur Burggasse qui sert des portions astronomiques que certains ont du mal à finir...

Sinon, on est également passé au Lutz, un bar-lounge à cocktails, du côté de Museumsplatz. Ambiance tranquille, excellents cocktails, recommandé pour finir la soirée en douceur autour d'un verre.


Retour sur Paris la samedi matin. Le terminal international de l'aéroport de Vienne n'est pas si grand, si bien qu'en l'espace de dix minutes, je vais croisé Shreeraj qui rentre en Inde et les gens du MSRC, dont boulot n'a pas forcément l'air si pourri que ça, qui rentrent chez eux, à l'exception de Sarah qui se dirige vers Kyoto avant de se rendre à Pacsec.

Comme d'habitude, j'ai pris quelques photos qui sont en ligne.

Notes

[1] Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n'avez rien compris à vos problème et vous n'avez rien compris à la technologie.

[2] Parfois publié sous GPL...

[3] Qui ne font que supprimer les attachements jugés dangereux.

[4] Nouvelles ou traités différemment

[5] Pour autant que je me souvienne correctement du nom...