Vendredi 11 juin 2010 - Jour 3

  • "Trusted Computing : Limitations actuelles et perspectives" par Frédéric Guihery, Frédéric Remi et Goulven Guiheux, Amossys. La présentation commence par un tour d'horizon des fonctionnalités qu'on classe dans la catégorie Informatique de Confiance. L'auteur regrette le manque de support de ces systèmes dans les systèmes d'exploitation modernes, comme le Trusted Boot, ainsi que le manque d'applications concrètes. Aujourd'hui, les besoins couverts sont la protection des données, la gestion d'identité et l'intégrité du système au démarrage. La seconde partie approfondit le fonctionnement, les applications et les orientations du TPM. On aborde l'attaque de Tarnovsky et la chaîne de confiance SRTM. Ensuite, c'ets le tour de Intel TXT, avec le principe et les attaques possibles. En conclusion, l'auteur propose des idées et pistes pour faire de l'intégrité et/ou de la confidentialité d'exécution.
  • "JBoss AS: exploitation et sécurisation" par Renaud Dubourguais, HSC. JBoss AS est un middleware qui a de plus en plus de succès, se retrouve de plus en plus embarqué sur appliance et se retrouve même en frontal sur le web. Première partie sur l'architecture interne du bestiau, l'accès aux MBeans et le rôle crucial du MBean Server pour la sécurité. Ensuite, on passe aux entensions de sécurité proposées, JBossSX et sandboxing Java natif, qui sont rarement utilisées dans la pratique parce souvent difficiles d'accès... Côté intrusion, le scénario proposé consiste à déployer une application SAR sur le serveur JBoss qui servira de backdoor. Petite vidéo en guise de démonstration, avec pénétration du serveur via la console d'administration, récupération et déploiement d'un shell Web en tant qu'application. L'auteur propose pas mal d'autres techniques d'exploitation et discute des apports de JBoss 5 et 6 qui suppriment chacun des fonctionnalités dangereuses évoquées précédemment. Il finit avec la démonstration d'une autre technique permettant d'exploiter ces dernières versions. Conclusion : il faut protéger l'ensemble des points d'entrées, un seul suffit à tout mettre par terre, minimiser la liste de services exposés et préférer SSH pour le déploiement des applications. La présentation est super intéressante mais très dense, je reprendrai tout ça avec les actes sur les genoux.
  • Hijacking de pause par Philippe Lagadec qui prend du rab pour faire une démonstration de son outil d'analyse de risque dynamique. C'était pas hier les rumps ?! :)
  • "Audit d'applications .NET complexes - le cas Microsoft OCS 2007 (R1 et R2)" par Nicolas Ruff, EADS Innovation Works. OCS[1] est un produit de communication unifiée qui se traduit dans la pratique par une énorme usine à gaz qui fait pleins de trucs avec pleins de SDK, d'outils, de protocoles propriétaires et des millions de lignes de code. Donc un truc intéressant à auditer d'autant qu'il est de plus en plus déployé. Nicolas de concentre sur le code de l'application qui repose essentiellement sur du bytecode .NET. Description rapide de la richesse de .NET. Le code .NET peut être compilé à la volée façon JIT[2] ou précompilé dans le GAC[3] sous forme de DLLs. Le bytecode conserve toute la sémantique du code source, ce qui rend la décompilation quasi immédiate avec un outil comme Reflector. On peut se livrer à du debugging, du profiling ou de la reflection. Bref, pleins de trucs qui permettent de comprendre rapidement ce qui tourne. On n'aura pas droit à la démo par manque de temps[4], mais tout de même un exemple d'application de ces techniques à Songsmith... Mais sans interprétation personnelle des chansons par le speaker... Dommage ;) Un exemple d'exploitation de MS09-061 et hop. L'intervention est surtout une excellente liste de pistes à explorer pour tous ceux qui veulent se lancer dans l'audit d'applications .NET, plus qu'une réelle analyse d'OCS.
  • "How to social engineer a program committeeSécurité des applications Web, la théorie des types à la rescousse" par Mathieu Baudet. Introduction sur "les applications c'est bien parce que... c'est mal parce que..." L'auteur s'intéresse à la sécurité d'une installation LAMP full-featured qui nécessite un effort non négligeable de configuration et de développement à pleins de niveau. Après quelques plugs grossières, genre le blackout électrique Brésilien causé par un serveur web compromis dont on sait maintenant que ce sont deux évènements décorrélés, on passe aux attaques classiques sur les applications Web... Bon, là, on en est au "SQL injection HOWTO", je crois que je vais arrêter. OMGWTF ?! Ce talk est un mega fail, jusqu'à présent, et je n'ai pas l'impression que ça tende à s'améliorer... La présentation de RFP aux RMLL 2001 ou 2002 sur la sécu Web était plus intéressante... Une lueur d'espoir avec une proposition de langage, OPA[5], qui serait fonctionnel, fortement typé, avec DB intégrée, qui permettrait de développer rapidement des applications web complète sur un seul serveur fournissant tous les services nécessaire. Exemples d'application super secure avec un chat Web. Super :/ Et enfin, la résistance du langage aux buffer overflow, aux injections SQL, à l'injection de code, aux XSS, au caries et à la varicelle. Et même... le Top 10 de l'OWASP... Désolé, je suis en panne de superlatifs là...
    Update : suite au commentaire très intéressant de Pappy, je ferai un billet spécialement pour élaborer un peu les raisons de ce retour très négatif.

Déjuner rapide avant les trois dernière interventions.

  • "PoC(k)ET, les détails d'un rootkit pour Windows Mobile 6" par Cédric Halbronn. Présentation du contexte Windows Mobile et de ses spécificités, puis des fonctions principales du rootkit et la manière dont ils sont implémentés. J'avoue avoir pas mal perdu le fil de la présentation, toute la partie sur les composants du rootkit en fait... Les services proposés par le rootkit sont le vol d'informations et la géolocalisation. L'auteur passe ensuite à l'architecture globale du rootkit puis saute à une démonstration simple et efficace. Il apparaît que le rootkit n'est pas détecté par les antivirus testés. En conclusion, il semble qu'une forte permissivité de Windows Mobile a vraiment facilité la mise au point d'un tel malware.
  • "Projet OsmocomBB" par Harald Welte. On revient rapidement sur le côté fermé de l'industrie GSM/3G, ainsi que du vocabulaire, des définitions importantes pour la suite[6] et quelques problèmes connus. L'auteur passe ensuite à l'étude du côté baseband avec le hardware et la pile logiciel, et les problèmes qu'on peut y trouver. Présentation du projet avec énormément de détails sur l'architecture, la couche logiciel, le matériel utilisable et l'avancement du projet. Je vous invite à retrouver tout ça sur les slides, ce sera plus simple. On finit avec quelques démos de petits outils. Très très bon.
  • Conférence de clôture par Patrick Pailloux, ANSSI, qui va nous parler de menace sous l'angle géopolitique. La cyberdéfense fait face à quatre défis. Le premier est technique évidemment. On notera la mention de l'asymétrie extrême du problème et le renversement de la prolifération de l'armement entre les états et les citoyens. Le second défi, juridique, est l'harmonisation du droit international, avec en particulier la difficulté d'attribuer un acte à quelqu'un et la quasi-absence de régulation. Le troisième défi est culturel, voire générationnel, accompagné du développement d'offres où la sécurité n'est clairement pas la priorité quand elle est envisagée. Mention du quasi-monopole du secteur privé sur le secteur, rendant les états assez impuissants. Dernier défi, l'évolution des mentalités entre pays pour aller vers plus d'échange. Le rôle de l'ANSSI est de répondre à ces défis avec plusieurs missions qui sont exposées : constituer un centre de cyberdéfense, fournir des systèmes résilients et efficaces, répondre concrêtement aux grandes interrogations autour de la SSI, vérifier les sécurité des systèmes de l'État et communiquer sur le sujet. L'orateur conclue sur l'implication de toute la communauté, mais critique la recherche, voire la vente, de vulnérabilités. Il insiste sur l'aspect sécurisation qu'il considère comme plus important, mais aussi plus difficile. Le sujet du recrutement arrive assez naturellement, sujet bien préparé avec la publication hier en fin de matinée de douze nouvelles offres. Chiffre annoncé de 70 personnes par an, soit 40 nouveaux postes si on exclue le turnover. Discours rodé, classique, avec cependant quelques idées qui mériteraient un peu plus que la simple mention. Mais là, ce n'est plus 30 minutes qu'il faut... À une séance de questions riche, il aborde quelques points intéressants : mise en place d'une roadmap d'évaluation des opérateurs d'infrastructure critique, futilité pratique de la conformité, nécessité de pourrir les gros acteurs médiatiquement quand ils sont pris en faute flagrante, traitement particuliers petites structures, PME typiquement, particulièrement fragiles.

Céline conclue la conférence. Et c'est fini.


Conclusion

Je trouve que l'édition 2010 du SSTIC était très bonne.

Grosse nouveauté, le système de badges à imprimer est excellent et accélère considérablement la phase d'enregistrement à l'accueil. Accompagner le badge du programme était aussi une super idée. Le Social Event au Coq Gadby m'a beaucoup plu, comme l'an dernier.

Côtés présentations, le niveau global était très bon. Des présentations qui m'ont énormément plu : Virtbdg, Facebook, les présentations de Harald Welte, JBoss et rootkit PocketPC. Légère déception sur la conférence d'introduction, même si la tenu d'un tel discours par un responsable de la DGSE était à lui seul un évènement remarquable. Le reste était d'un excellent niveau, sauf une qui faisait tâche.


On en parle ailleurs

Je ne suis pas le seul à avoir suivi le SSTIC et s'être fendu d'un retour sur l'évènement, en live ou en différé. On commencera par citer les micro-blogueurs :

Côté blogs classiques, si je puis m'exprimer ainsi, on trouvera :

On pourra également consulter la revue de presse du SSTIC 2010 sur le wiki communataire du SSTIC.

PS : si je vous ai oublié, n'hésitez pas à me laisser un commentaire ou un mail avec les liens qui vont bien, voire poser un trackback, je les ajouterai.

Notes

[1] Office Communication Server

[2] Just In Time

[3] Global Assembly Cache

[4] La bonne excuse...

[5] One Pot Application

[6] Um interface, MS = Mobile Station

[7] Ça serait bien d'avoir plus de retours d'intervenants.