Je ne suis pas allé aux trainings, mais globalement, les retours que j'ai pu en avoir étaient bons, voire excellents. En particulier, un des nombreux français présents ne tarit pas d'éloges sur celui de reverse hardware. Côté interventions, le moins qu'on puisse dire est qu'il y avait du choix. Trop de choix à mon avis. Et manifestement, à me partager le programme avec Francky, je me suis quelque peu loupé au tirage...


Mercredi 6 août - Jour 1

Après un tour à une soirée open food & bar offerte par Qualys et une bonne nuit de sommeil, la conférence s'ouvre avec une intervention de Jeff Moss qui nous remercie d'être là, nous annonce que c'est la plus grosse Black Hat de toutes, et patati, patata, que faut faire attention au Wall of Sheep, etc. Avant de laisser la place à la keynote du jour.

  • "Complexity in Computer Security: a Risky Business" par Ian Angell, professeur d'économie des systèmes d'information à la London School of Economics. Intervention placée sous le signe du pessimisme et de l'humour à l'anglaise. En gros, il nous explique que nous ne parvenons pas à maîtriser la complexité introduite par l'usage grandissant des systèmes d'information et qu'on va se prendre le mur. La question n'étant plus de savoir si on va se le prendre ou pas, mais de savoir quand. Malheureusement, même avec ses traits d'humour et ses histoires de chat qui parle, ça manquait cruellement à mon goût d'arguments dépassant le lieu commun. Sans doute s'est-il senti obligé de se mettre au niveau d'un auditoire jugé inculte, mais sans être chiant, c'était creux. Ce qui pour beaucoup semble paraître plus intéressant que le contraire...
  • "Pointers and Handles" par Alex Ionescu. Un choix quelque peu étrange je le reconnais vu que ce sujet n'est pas, mais alors pas du tout, ma tasse de thé. Je ne me risquerai donc pas à donner un avis technique. Alex nous a parlé de Null Pointer Dereferences et de fermetures de handles malheureuses qui donnent lieu à des failles. La plupart de celles qu'il exposent entraînent des DoS, de l'élévation de privilèges dans quelques cas particuliers. Vous pouvez aller jeter un œil sur son blog où il explique tout ceci un peu plus en détail. Globalement, à la fin, je me suis quand un peu demandé où il voulait en venir après une avalanche de détails techniques. Je pense cependant que les connaisseurs apprécieront.
  • "Highway to Hell: Hacking Toll Systems" par Nate Lawson. Excellente présentation sur Fastrak, le système de télépéage utilisé dans la baie de San Francisco pour les autoroutes et les ponts. On commence par un démontage du transpondeur[1], l'étude du firmware associé et son exécution sur un émulateur écrit pour l'occasion. Conclusion à laquelle on s'attendait, aucune cryptographie n'est utilisée, ouvrant la voie aux attaques classiques d'écoute, de rejeu et de duplication des équipements. Plus intéressant, le firmware aurait des fonctions de reconfiguration à distance qui fonctionnent sur le simulateur, ce qui voudrait dire qu'on pourrait par exemple changer l'ID d'un device sur un parking. On imagine les applications... Dernier point soulevé, la collecte de données à des fins d'étude de trafic qui semble quelque peu manquer de soin, en particulier par rapport à l'anonymisation des données dans la base. Tracking des personnes, quand tu nous tiens...
  • "Black Ops 2008: Its The End Of The Cache As We Know It" par Dan Kaminsky. Il se trouve que Nate a fini sa présentation en avance. Je n'ai pas pu m'empêcher d'aller voir Deputy Dan et ses histoires de DNS qui ont pas mal monopolisé ces lignes cet été. J'ai pu assister au dernier quart d'heure de l'intervention la plus attendue de la conférence, ne serait-ce qu'à en juger par l'occupation de la salle. Je suis donc arrivé à ce que je pensais être le début de la partie "si tu pwnes la DNS, tu pwnes tout". En fait, c'était la fin de cette partie paraît-il. Le talk est passé très vite sur les détails techniques, certaines mauvaises langues ont utilisé le verbe "éluder", et s'est surtout concentré sur ce qu'on pouvait faire quand on était capable de contrôler DNS. Bref, j'ai bien fait de ne pas y aller, et ça confirme bien mon impression sur cette histoire : du buzzz pour son talk. Autant dire qu'il mérite amplement son Pwnie.

Ensuite, c'est déjeuner en vitesse sous une tente immense[2]. Je ne vous cache pas que les déplacements entre les salles au milieu de tout ce paquet de gens n'est pas une sinécure. Au point que vous n'avez qu'une envie : vous poser dans une salle et ne plus en bouger. Ensuite, réunion en petit comité pour préparer les deux prochaines éditions de Source, à Boston en mars puis à Barcelone en septembre. Et on y revient.

  • "Software Radio and the Future of Wireless Security" par Michael Ossmann. Un sympathique Software Radio 101 bien complet, démos à l'appui. Très bien comme introduction, les connaisseurs resteront forcément sur leur faim. La présentation était accompagnée d'un challenge d'analyse de signal qui est encore en ligne. On y peut trouver un peu code également.
  • "Malware Detection Through Network Flow Analysis" par Bruce Potter. Un show à l'américaine de la part du fondateur de Shmoo et co-organisateur de ShmooCon. Beaucoup de rythme et d'humour, c'est bien, mais avec un peu contenu, ça serait bien aussi. Après avoir passé dix minutes à arranguer la salle sur le fait que les conférences de sécurité devaient servir à sécuriser le net (?!), on a eu droit à un howto sur Netflow. C'était certes très bien, mais bon, Netflow, ça commence quand même à dater un peu[3]. À retenir, quelques recettes et logiciels comme Softlowd ou son bébé, Psyche. Si vous ne connaissez pas Netflow du tout, comme apparemment l'essentiel de la salle, je vous recommande quand même les slides.
  • "New Classes of Security and Privacy Vulnerabilities for Implantable Wireless Medical Devices" par Tadayoshi Kohno et Kevin Fu. Comment dire ?... Sujet très intéressant, traité dans un style très "Oui Oui découvre la sécurité". En gros, il y a pleins d'implants disposant de fonctions de gestion à distance sur canal wireless sur le marché et deveniez quoi ? Ben il y a quand même peut-être quelques problèmes de sécurité. Rien de grave cependant hein, mais juste quelques soucis. Vous pouvez allez lire le papier, mais la présentation sur la protection des réseaux capteurs du dernier SSTIC a couvert toutes les problématiques et de manière nettement plus convaincantes à mon avis. Une pensée qui me revient à chaque fois que j'entends un talk là-dessus ou sur la sécurité SCADA : mais qu'est-ce que foutent les autorités de régulations ?!...
  • "Pwnie Awards 2008" par la fine équipe dont les choix ont tout simplement ridiculisé mes pronostiques éclairés avec un piètre 2/9. Les gagnants sont donc les suivants :
    • Best Server-Side Bug : Windows IGMP kernel vulnerability.
    • Best Client-Side Bug : Multiple URL protocol handling flaws qui mérite effectivement le titre une fois que l'IGMP est passé.
    • Mass 0wnage : Wordpress pour l'ensemble de son œuvre.
    • Most Innovative Research : Lest We Remember: Cold Boot Attacks on Encryption Keys.
    • Lamest Vendor Response : McAfee's "Hacker Safe" certification program, avec une mention spéciale pour les gens de McAfee qui sont allés chercher leur trophée.
    • Most Overhyped Bug : Unspecified DNS cache poisoning vulnerability bien évidemment, ce qui n'a pas manqué de blesser Dan Kaminsky au très fond de son estime personnelle.
    • Best Song : Packin' The K!, forcément.
    • Most Epic FAIL : Debian for shipping a backdoored OpenSSL library for two years, trophée récupéré par les mainteneurs Debian qui ont découvert, étudié et remonté la faille.
    • Lifetime Achievement Award : Tim Newsham.

Et s'en est fini de cette première journée. Se tienait immédiatement après une réception sponsorisée avec, comme il se doit, à boire et à manger. Ensuite, on s'est fait un petit concert rock entre français au Harrah's, puis soirée "Milk and Cookies" offerte par Mozilla.


Jeudi 7 août 2008 - Jour 2

Très courte intervention de Jeff Moss qui laisse rapidement la place au premier speaker pour sa keynote.

  • "Natural Security" par Rod Beckström, directeur du tout nouveau National Cyber Security Center du DHS et co-auteur de "The Starfish and the Spider". Cette keynote est placée sous le signe de la constitution américaine : l'auteur fait un parallèle intéressant entre l'histoire de l'indépendance américaine avec celle d'Internet. Au-delà de tout ça, le message principal, sans controverse aucune[4], est un appel à la collaboration de tous pour endiguer les problèmes de sécurité sur Internet. Évident, certes, mais c'est parfois bon à rappeler. Au final, rien d'éclatant, mais une bonne argumentation avec quelques exemples à reprendre pour appuyer ses argumentaires, comme le dilemme du prisonnier.
  • "Passive and Active Leakage of Secret Data from Non-Networked Computer" par Éric Filiol. Je vous parlais précédemment de présentation amusantes mais sans contenu. Et bien là, c'était le contraire. Éric a passé deux heures sur un contenu a priori intéressant, la fuite de données par canaux cachés non-réseau. Il a beaucoup parlé de TEMPEST, de dissimulation de données dans un signal audio et quelques autres techniques de son cru, pour la fabrication d'un logiciel espion. Du contenu intéressant donc, mais, et ça me fait mal de le dire, dans une présentation chiante à mourrir, au point que je suis parti avant la fin. La lecture des slides et une bonne discussion autour d'une bière m'auraient amplement suffit à couvrir le sujet. Talk selection fail.
  • "Mobile Phone Messaging Anti-Forensics" par Zane Lackey et Luis Miras. Du coup, je me suis rabattu sur un turbo-talk fort intéressant sur l'antiforensics de SMS. Globalement, après avoir étudié les faiblesses des outils de forensic sur téléphones mobiles, ils proposent plusieurs solutions pour produire des SMS viables que ces outils ne trouveront pas sur la SIM ou dans la mémoire du téléphone, voire carrément exploiter des failles dans le logiciel. Et c'est désarmant de simplicité, puisqu'un simple changement du format d'encodage du SMS suffit à le rendre illisible pour ce genre d'outil. Ça me rappelle des travaux sur EnCase...
  • "Side-channel Timing Attacks on MSP430 Microcontroller Firmware" par Travis Goodspeed. L'auteur s'intéresse ici à l'accès aux fonctions du Boot Serial Loader du MSP430. Or celles-ci sont protégées par une clé de 256 bits qu'on trouve dans l'IVT. On s'aperçoit rapidement que seuls 40 bits sont réellement inconnus, mais la vitesse du bus de communication avec le microprocesseur ne permet pas d'envisager une attaque en force brute. Cependant, un problème de timing dans le code de vérification de la clé apparaît à partir de la version 3, ce qui permet l'implémentation d'un cracker de clé. Quand on sait que l'accès au BSL permet en particulier de dumper le firmware du microcontroleur, on comprend mieux l'intérêt de ces travaux. Excellente présentation, très accessible, dommage qu'elle n'ait duré que trente-cinq minutes sur l'heure allouée. Forcément, il est trop tard pour aller ailleurs... À noter qu'un papier complet est également disponible.
  • "Secure the Planet! New Strategic Initiatives from Microsoft to Rock Your World" par Mike Reavey, Katie Moussouris et Steve Adegbite. La présentation porte sur trois initiatives de Microsoft pour sauver la planète des méchants n'hackers. D'abord la "Microsoft Vulnerability Research" (MSVR) qui va consister à purement et simplement se lancer dans l'audit de solutions tierces partie, de manière indépendante ou sur des retours utilisateur. Si on considère le récent recrutement de Skape, il y a de quoi se dire qu'ils ne vont pas y aller à reculons. Ensuite, le "Microsoft Active Protections Program" (MAPP) qui prévoit la communication d'informations techniques détaillées sur les vulnérabilités en cours de traitement par le MSRC à un panel de boîtes de sécurité triées sur le volet. L'idée étant que ces boîtes puissent sortir leurs updates en même temps que les patches de Microsoft pour réduire la capacité des méchants à exploiter le temps de latence entre les alertes et la mise à jour effective des systèmes. À noter que les boîtes produisant des outils intrusifs seront exclues du programme, en particulier Immunity dont la publication d'un exploit pour MS08-025 en quelques heures a manifestement bien fait chier le MSRC. Enfin, l'"Exploitability Index" (XI) vise à fournir une information sur le degré d'exploitabilité des failles publiées pour que les utilisateurs qui le désirent puisse prioritiser leurs mises à jour. Initiative louable à prendre avec du recul, au cas où ils se planteraient...
  • "Windows Hibernation File for Fun and Profit" par Matthieu Suiche. Un sujet que je connaissais déjà, mais dont je voulais voir les avancées. Là encore, pas mal de contenu intéressant, mais un Matthieu qui a vraiment du mal en anglais et qui foire sa démo, d'où les mauvaises revues que vous pourrez trouver sur le net. De plus, la séance de question a démontré que la plupart des gens n'ont pas compris grand chose aux détails techniques. Presentation fail ? Apparemment pas si on considère le groupe d'une quinzaine de personnes venus discuter avec lui en privé juste après. Mention spéciale à Shawn Embleton et Sherri Sparks qui avaient présenté un talk sur les rootkits SMM[5] auxquels Matthieu a proposé une solution simple : hiberner son OS. La discussion en privé à ce sujet a montré au moins une chose : ils n'avaient aucune idée de comment marchait l'hibernation...

J'ai terminé Black Hat sur deux soirées. La première offerte par Core dans un restaurant japonais archi bondé au très fond de la gallerie marchande du Caesar et puis la très réputée soirée Microsoft qui s'est tenue au LAX, la boîte de nuit du Luxor, entièrement réservé pour l'occasion. Et même sans faire preuve d'enthousiasme débordant, ça déchirait carrément.

Alors qu'est-ce que Black Hat m'a laissé comme souvenir ? Une grand-messe de la sécurité avec pleins de gens qui sont là parce qu'on leur a dit que c'était là qu'il fallait être. Un niveau technique relativement moyen. Pas de déception, mais pas de bonne surprise non plus. Un networking qui avoisine le zéro pointé. Juste pas le temps de voir les gens...


Pour le reste, à savoir la partie touristique de ce second séjour à Vegas, avec des visites fantastiques comme Death Valley et le Grand Canyon, j'y consacrerai un autre billet si je trouve la volonté et le temps nécessaires. En attendant, vous pouvez toujours regarder mes photos.

Notes

[1] Basé sur un MSP430, d'où mon intérêt plus tard pour un talk sur le sujet.

[2] Je m'attendais à bien plus grand que ça en fait...

[3] Le Honeynet l'utilise depuis 2003, c'est dire...

[4] Pas de polémique certes, mais ça change un peu des keynotes un poil trop engagées politiquement, surtout en cette saison.

[5] Un truc qui ne marche plus depuis quelques années...