Mercredi 11 janvier 2012 - Jour -1

La conférence commence par une soirée sur le toit de l'hôtel Gansevoort où se déroulait la conférence, au bord de la piscine. Super vue et open bar au programme. Très sympa pour engager la conversation, et retrouver quelque connaissances :)

Jeudi 12 janvier 2012 - Jour 1

On attaque les interventions...

  • Keynote d'ouverture, par Thomas Lim qui nous promet "the worst talk ever". Après une rapide présentation de sa boîte et de Syscan, il nous livre quelques réflexions personnelles sur les conférences en général : trop d'évènements, pas assez de speakers, trop de répétitions, pas assez de temps pour courir le monde et faire de la recherche. Il nous explique qu'à de très rares exceptions, on ne gagne pas d'argent en organisant des conférences, et que de manière générale, un bon programme ne suffit pas, en particulier à cause de soumissions apparemment excellentes qui donnent des interventions pas terrible. Une note d'humour sur les services de renseignements qui assistent et leur manière de se présenter. Enfin, il nous livre sa vision sur la cyberguerre qui existe selon lui, sur la Chine vs. US et les autres. Intéressant, globalement assez pertinent.
  • "Voight-Kampff'ing The BlackBerry PlayBook" par Zach Lanier et Ben Nell. Analyse de la tablette de RIM, basée sur un noyau QNX, des mécanismes de sécurité qu'elle met en oeuvre et de quelques vulnérabilités qui la touche. Une bonne introduction sur le sujet, avec pas mal de pointeurs.
  • "Unearthing the world's best WebKit bugs" par Michel Aubizzierre. L'auteur, qui présente sous pseudonyme, décrit son utilisation d'algos d'apprentissage pour analyser les commits/merge sur le repository webkit et en déduire quels bugs ont un impact sécurité. L'idée est très intéressante et originale, et à creuser pour... le noyau Linux par exemple... Pour ne rien gâcher, la présentation était excellente.
  • "Effective Denial of Service attacks against web application platforms" par Alexander Klink et Julian Waelde. Il s'agit du DoS sur les tables de hash publié à 28C3. Deux attaques, "Equivalent substrings" et "Meet in the Middle", sont présentées. Elles visent essentiellement la fonction DJBX33X et ses dérivés qu'on retrouve dans PHP, ASP, Python, Ruby, Java, etc. Bonne présentation.
  • "A Heap of Trouble, Breaking the Linux Kernel SLOB Allocator" par Dan Rosenberg. Le SLOB (Simple List Of Blocks) est un des allocateurs de tas du noyau Linux, principalement utilisé sur les plate-formes embarquées en raison de sa simplicité. Sauf que cette simplicité le rend très facilement exploitable en cas de faille, d'autant plus qu'il ne propose aucune contre-mesure ou vérification particulière. L'auteur discute des conditions d'exploitation, de la préparation nécessaire, des scenarios d'exploitation proprement dits. Très intéressant, niveau technique élevé.
  • "Real World SQL injections", par Leonardo Alminana. L'auteur discte de l'optimisation des exploitations de SQLI dans la vraie vie : attaque en aveugle, latence réseau variable, gestion de l'unicode, etc. C'est surtout un retour d'expérience bien documenté et illustré sur un sujet largement écumé. Je n'ai pas l'impression que grand chose de nouveau ait ait été dit.
  • "A Sandbox Odyssey", par Vincenzo Iozzo. Il s'agissait d'un étude de la sécurité du sandboxing proposé par MacOSX Lion, avec son fonctionnement et ses faiblesses. Ces dernières tournent autour des failles, de problèmes de conception essentiellement liées à la compatibilité des applications existantes et un soucis de proposer une migration simple aux développeurs, et, enfin, d'AppleScript. Le genre de choses qui conduit évidemment à des applications ayant trop de droits, ou des droits mal Exemples, genre extraction du keychain de la machine (?!) depuis la sandbox puis exfiltration par une application qui a les droits réseau. Ou voler et/ou pourrir des sessions web via le Web Application Cache...

Soirée au bord de la piscine d'en bas : super bouffe avec, entres autres mets délicats, de l'alligator, et évidemment un open bar (again). Ambiance relax, avec pleins de gens :)


Vendredi 13 janvier (OMFG) 2012 - Jour 2

  • "Man vs. Machine" par un Andrew Cushman en costard/cravate pour un retour d'expérience sur dix ans[1] à bosser dans la sécurité chez MS, sur les challenges de la mise en place de la SDL et des changements qui ont suivi et comment ces changements ont affecté le marché de la sécurité[2]. Il justifie en terme économiques une approche qui consiste à augmenter le coût pour l'attaquant et diminuer son gain. Il insiste enfin sur la nécessaire connaissance du "terrain"$$"Cyberspace is not flat." pour comprendre un tant soit peu ce qui se passe. Il conclue en boutade sur la Pyramide de Maslow : si la satisfaction de l'attaquant est plus difficile à obtenir, il faut venir bosser pour le "côté obscur". Paraît que, selon la ritournelle consacrée, Microsoft recrute. Keynote intéressante à pleins d'égards, mais pas autant qu'une bonne discussion à bâton rompus avec lui...
  • "Attacking Proximity Card Access Systems" par Brad Antoniewicz. L'auteur nous propose une étude de sécurité de la chaîne complète d'un système d'authentification par RFID[3], depuis le couple carte/lecteur avec la capture/rejeu/modification de credentials[4] en utilisant un proxmark3, jusqu'à l'attaque du backend et de son interface web. Pas mal, didactique avec démos visuelles, mais pas vraiment de nouveauté.
  • "Easy local Windows Kernel exploitation" par Cesar Cerrudo qui détaille des techniques basées sur la manipulation des ACLs d'un objet ou du token d'un processus pour rendre l'exploitation des bugs kernel plus facile et plus stable sous Windows. Il met le tout en pratique sur quelques bugs remontés l'an dernier par Tarjei Mandt.
  • "Secrets in Your Pocket, Analysis of [Your] Wireless Data" par Mark Wuergler qui discute de la récupération et de l'analyse de communications sans-fil pour trouver des fuites de données personnelles, soit de manière passive avec l'étude des beacons, des requêtes ARP[5], des données GPS dans les EXIFs des photos, des flux HTTP en clair, etc., soit de manière active en injectant du contenu. L'auteur propose un outil appelé Stalker qui cherche, agrège et rassemble les informations en profils à partir d'un PCAP ou d'une capture directe. L'approche active est illustrée avec le détournement de l'installation de l'appli Pandora sur Facebook. Pas mal de déjà vu, mais un gros travail sur la mise en perspective et l'outillage.
  • "The Stack is Back" par Jon Oberheide qui commence avec un petit quizz[6]. Sa présentation porte sur deux nouvelles techniques d'exploitation de stack overflow sur le noyau Linux et leur illustration sur le bug econet_sendmsg. Quelques réflexions pas trop polémiques sur l'exploitation des kernels avec GRSec/PaX. C'est très technique, ça ferait presque mal à la tête :)
  • "Modern static security checking for C/C++" par Julien Vanegue. L'analyse statique appliquée au C/C++ et comment elle s'intègre dans le processus de chasse aux bugs chez Microsoft. Un panorama intéressant des techniques, des outils développés et de leur évolution.
  • "Undermining Security Barriers, further adventures with USB" par Andy Davis. Pareil qu'à Black Hat avec quelques updates mineures.
  • "Don't Hassle The Hoff, Breaking iOS Code Signing" par Charlie Miller qui présente du système de signature des applications pour iPhone et ses vulnérabilités. Il parle sur l'exploitations de bugs lié à la gestion du debug software dans iOS 2 et 5 et de l'exploitation de la "signature à la volée" de code JIT introduite pour accélérer MobileSafari.


La conférence était excellente. Il y avait un très bon niveau chez les speakers, mais également dans la salle avec pleins de "special guests". L'ambianceétait très sympa, l'environnement soigné et propre au discussions, avec pour ne rien gâcher de la bonne bouffe[7] et à boire.

Notes

[1] Le dixième anniversaire de la note "Trustworthy Computing" de Bill Gates était le 15 janvier.

[2] Il voudrait savoir pour celui des exploits, en particulier chez Immunity ou Coseinc (et Vupen?).

[3] HID iClass dans le cas présent.

[4] En jouant sur des ID qui sont affectés séquentiellement sur des séries de 100 cartes.

[5] Jolie fuite SSID+MAC sur iPhone...

[6] Avec comme lots un téléphone Android, un tee-shirt ou le numéro de téléphone 1-855-FOR-0DAY ;)

[7] Compliment qu'on fait rarement lors de confs en Amérique du Nord quand on est français ;)