Jeudi 3 juillet 2008 - Jour 1

Si on considère l'occupation de la salle, c'est la plus grosse SyScan depuis sa création, en 2004 : au jugé, un peu plus d'une centaine de personnes sont là, avec essentiellement des gouvernementaux. Thomas Lim, l'organisateur, accueille tout le monde avec un laïus classique habituel qui a l'immense qualité d'être court. Ce qui permet d'attaquer les hostilités sans plus attendre.

  • Subverting Windows Embedded CE 6 Kernel par Petr Matousek (COSEINC) : après une description de Windows CE 6 et de sa gestion des appels système, Petr nous présente diverses méthodes utilisables pour construire des rootkits ainsi que des pistes pour détecter de telles anomalies. Présentation de bon niveau, slides détaillés et clairs.
  • Trusted Virtualization: The Next Big Thing? par Gaith Taha (McAfee Avert Labs) : un talk assez conventionnel sur la virtualisation et la sécurité. Un gros passage Caliméro sur comment les éditeurs genre VMWare et Microsoft ils sont méchants avec les éditeurs d'antivirus. Rien de nouveau sous le soleil, limite chiant, bref sans intérêt...
  • Generic Electric Grid Malware Design – Attacking SCADA System par Eyal Udassin (C4 Security) : cette présentation sous forme de retour d'expérience sur l'évaluation de système SCADA permet d'appréhender les problématiques de ce type d'environnement. Des protocoles antédiluviens à la réalité du terrain, l'auteur aborde pas mal de points avec en particulier la sécurité par l'obscurité détaillé sur l'exemple d'une plate-forme GE Fanuc. En gros, s'il est vrai que le système peut paraître obscur à l'auditeur, il n'en reste pas moins qu'il est simple de le perturber fortement. Il propose ensuite quelques pistes pouvant être exploitées pour implémenter des malwares génériques. Très bien.
  • Real World Kernel Pool Exploitation par Kostya Kortchinsky (Immunity) : la même chose qu'à Hong Kong.
  • Defeating ASLR and DEP protections on Windows Vista par Alexander Sotirov (VMWare) : après avoir dressé un panorama des méthodes de protection implémentées dans Windows Vista, ASLR et DEP en tête, Alex nous explique comment les contourner dans la pratique et en particulier dans le contexte du navigateur, avec l'exploitation du JavaScript et de Flash par exemple. Du très bon, avec un article détaillé en ligne. À voir.

Le traditionnel repas des speakers s'est tenu au restaurant indien de l'hôtel, suivi d'une séance de reverse bunggie pour les braves.


Vendredi 4 juillet 2008 - Jour 2

  • Heaps about heaps par Brett Moore (Insomnia Security) : retour sur les techniques d'exploitation de heap overflow sous Windows et présentation d'une nouvelle détaillée sur l'exploitation d'une faille sur Citrix[1]. Excellent, à ne pas louper non plus.
  • Buffered Code Execution par Matt Conover (Symantec) : Matt nous propose une technique permettant d'exécuter des malwares Ring0 en espace utilisateur pour mieux les tracer. Le tout repose sur l'interception des exceptions retournées lors de l'utilisation de syscalls privilégiés. L'émulateur prend alors la main pour valider et éventuellement exécuter les instructions en question. Les applications proposées sont d'une part l'analyse de malwares et d'autre part la création de sandbox pour des exécutions contrôlées. Bonne présentation avec un concept intéressant, mais qui demande encore du travail.
  • Killing the myth of Cisco IOS rootkit par Sebastian Muniz (Core Security) : même chose qu'à Eusecwest et pH-Neutral.
  • PhlashDance, fuzzing your way to expensive bricks par Richard Smith (Hewlett-Packard) : un framework visant à fuzzer les mécanismes de flashage. L'auteur nous propose un talk autour des méthode d'upload de firmware et de leur exploitation, avec des conséquences comme le déni de service permanent (PDOS). On y apprend que les méthodes de flashage ne sont pas souvent sécurisés, et que quand elles le sont, ça se résume à vérifier des checksum. Et quand il s'agit de signatures, elles sont le plus souvent vérifiées par l'outil d'upload, pas par le périphérique mis à jour. Dans un deuxième partie, Rich nous présente Phlashdance, un framework permettant la génération de firmware modifiés et leur upload sur le device testé pour aboutir à un fuzzing en bonne et due forme. Bonne présentation, didactique et claire.
  • Hacking RFiD devices – Singapore Passport? par Adam Laurie : la même chose qu'à Hong Kong, une démo sur le passeport singapouréen en plus.

La conférence s'est achevée sur une tournée dans Singapour avec comme première étape la grande roue, le Singapore Eye, avec une vue imprenable sur la ville de nuit. Ensuite, spécialités locales de fruits de mer sur la côte, au Jumbo Seafood comme l'an dernier, et enfin boîte de nuit au Ministry of Sound sur Clarke Quay.


Au final, ce fut un très bon SyScan que le cru 2008. Il y avait certes trois présentations sur dix que j'avais déjà vues, une quatrième qui ne restera clairement pas dans les mémoires, mais les six autres méritaient le détour. Je n'aime pas faire de classement, mais sur ces dernières, je pense que Sotirov et Moore se disputeraient la première place si je devais en faire un. Avec Smith, Conover et Udassin dans un mouchoir de poche derrière. Matousek m'a semblé un peu moins bon.

À noter un gros sponsorship de Google cette année, avec une bonne dizaine de personnes présentes.

Les photos sont en lignes.


PS : le propriétaire de l'antique serrure sur laquelle je me suis penché m'a gentillement mailé quelques photos que je vais ajouter sans tarder.

Notes

[1] Découverte par un français :)