Journal Hack.lu 2014

Posté par  . Licence CC By‑SA.
Étiquettes :
22
25
oct.
2014

Cher journal,

Hack.lu, c'est fini, c'était la semaine passée. Alors, je vais te faire un résumé rapide des conférences que j'ai ou dont j'ai entendu parlées qui étaient particulièrement intéressantes. Vous pouvez retrouver une partie des supports de présentation dans les archives, elles n'étaient cependant pas filmées. Je ne vais pas détailler plus que ça parce que je n'ai pas forcément vu les conférences et puis, avec Google et le titre, vous trouverez plein d'informations si le sujet vous intéresse, si vous avez des questions, n'hésitez pas à utiliser le bouton carré avec écrit « Envoyer un commentaire ». Premièrement, les lightning talks de mardi. Elles commencent avec une démonstration par Philippe Teuwen pour montrer, à ceux qui en doutait encore, que le chiffrement ECB ne cache pas grand chose et que le CBC n'est pas forcément sûr non plus. Ensuite une démonstration d'Axelle Apvrille pour cacher un apk dans une image (développé avec Ange Albertini) et contourner ainsi beaucoup de systèmes de détection.

La première conférence de mardi était faite par Filippo Valsorda qui a développé l'outil de test d'Heartbleed juste pour tester et qui s'est retrouvé submergé par les requêtes qui ne faisaient qu'augmenter au cours du temps. Il a notamment évoquer les extensions des navigateurs qui testaient les site pour vérifier s'ils étaient impactées qui, au final, lui envoyaient toute l'historique de navigation de ceux qui l'avaient installé. Ensuite, une explication sur le fonctionnement de l'application Android FinFisher par Attila Marosi, si jamais vous êtes infecté, vous pourrez la reconfigurer pour qu'elle s'autodétruise et être tranquille. Paul Jung nous a ensuite montré comment détecter l'exécution dans une machine virtuelle ou une sanbox, très utile si vous écrivez un malware ;) La conclusion est que pour éviter les virus, il vaut mieux avoir son système qui tourne en permanence dans ces environnement. Serge "sans paille" Guelton nous a parlé d'obfuscation de code Python. L'obfuscation de source n'est pas très utile dans ce langage, par contre, il existe d'autre technique pour éviter qu'on ne lise votre code trop simplement. La plus simple/efficace est de livrer un interpréteur modifié. Enfin, la journée s'est terminée avec une (longue) conférence de Xeno Kovah du MITRE explicant comment faire tourner un code en infectant l'UEFI et ayant le contrôle sur tout le système. L'exemple donnée est un programme qui scanne la mémoire en permanence à la recherche d'une signature particulière et qui exécute le code suivant cette signature. Cela veut dire qu'avec cela actif, il vous suffit d'un simple ping pour briquer le PC cible.

Dans les lightning talks du mercredi, j'ai retenu celle de Philippe Teuwen sur les élection électronique belges, quelle était le bug et le portage sous Linux du système de vote pour le vérifier. Serge Guelton nous a encore parler d'obfuscation, il s'agissait ici d'une démonstration d'Epona, un outil de d'obfuscation basé sur LLVM. Il parait aussi que la conférence sur TR-069 était intéressante. Il s'agit un protocole utilisés par les routeurs domestiques (les box des FAI) pour se mettre à jour. Beaucoup d'implémentations sont très mauvaise au point de vue de la sécurité et il facile de pousser un firmware personnel sans accès physique. Xeno Kovah est aussi revenu pour nous parler de la suite la veille, et comment éviter la détection d'un BIOS modifié et comment éviter l'évitage de détection et… j'ai fais un stack overflow :). Au final, vos PC sont destinés à être hacké et vous ne pouvez pas faire grand chose pour contrer cela. La journée s'est terminée avec la fragmentation des paquets IPv6 et comment l'utiliser pour contourner les IDS (slides) par Enno Rey, les failles ont été rapportés aux différents dévelopeurs de ceux, mais comme chez Sourcefire, ils étaient trop occupés à compter leur stock options, plutôt qu'à répondre aux failles de sécurité, on a pu assisté à un beau 0day en direct. La conclusion est que les RFC sur IPv6 sont beaucoup trop bordéliques laxistes pour avoir une pile sûre (ou même respectant la norme).

Je n'ai pas assisté aux conférences du jeudi mais il y en avait une sur Virtualbox et comment utiliser les instructions 3D pour en sortir des machines virtuelles. Saumil Shah a aussi jouer avec les images et a montré des exemples d'images qui sont aussi un fichier JavaScript valide ou même un JPEG qui est aussi du HTML et du JavaScript, une catastrophe pour la détection de comportement anormaux et le forensic d'une attaque.

Je sais c'est un peu décousu mais moi je vous retranscris ça pèle-mêle aussi.

  • # sympa

    Posté par  (site web personnel) . Évalué à 4. Dernière modification le 25 octobre 2014 à 20:30.

    Je sais c'est un peu décousu mais moi je vous retranscris ça pèle-mêle aussi.

    Sympas les sujets. Ton journal gagnerait en clarté avec moins de pâté pour les paragraphes, en passant à la ligne.

    Cela donnerait envie de s'installer au Luxembourg ;-)

    Et le classique ortho/typo :

    • s/évoquer/évoqué/
    • s/impactées/concernés/
    • s/sanbox/sandbox/
    • s/environnement/environnements/
    • s/explicant/expliquant/
    • s/l'exemple donnée/l'exemple donné/
    • s/les élection/les élections/
    • s/quelle/quel/
    • s/nous a encore parler/nous a encore parlé/
    • s/Il s'agit un protocole utilisés/Il s'agit d'un protocole utilisé/
    • s/sont très mauvaise/sont très mauvaises/
    • s/ j'ai fais/ j'ai fait/
    • s/ sont destinés à être hacké/ sont destinés à être hackés/
    • s/les failles ont été rapportés/les failles ont été rapportées/
    • s/ on a pu assisté / on a pu assister /
    • s/ a aussi jouer/ a aussi joué/
    • s/comportement anormaux/comportements anormaux/

    Visiblement, le participe passé et les accords sont d'un autre temps pour toi :-)

    Le jour où l'on me rendra des droits d'édition des journaux, je pourrai le faire silencieusement comme auparavant ;-) (rha flûte, tu as perdu ces droits aussite :/)

    Continue avec tes journaux tout de même _o/ :p (limite, cela pourrait être promu en dépêche collaborative).

    • [^] # Re: sympa

      Posté par  . Évalué à 3.

      Oui, je ne suis pas fan de la mise en forme mais je n'aime pas les paragraphes d'une phrase.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: sympa

        Posté par  . Évalué à 2. Dernière modification le 26 octobre 2014 à 16:18.

        en France, il me semble qu'on a ce qu'on appelle des mots de liaisons qui indique un changement d'idée, une suite logique, et qui se pretent tres bien au changement de paragraphe.

        dans l'intro "** premierement** …. ensuite…"
        dans le premier "paragraphe" : la premiereensuiteenfin
        dans le deuxiemme : Dans les lightning talk du mercredi … au finalen conclusion

        dans la meme idée, tu enonces plusieurs sujets, une presentation en liste serait plus appropriée et simplifierait la lecture

        Mais le fond est là, et je trouve ca bien que quelqu'un resume un peu une conference ou il a pu aller.
        Merci à toi.

    • [^] # Re: sympa

      Posté par  (site web personnel) . Évalué à 3.

      Cela donnerait envie de s'installer au Luxembourg ;-)

      Pour deux jours par an ça me semble un petit peu excessif.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # En parlant de conference...

    Posté par  . Évalué à 1.

    Qui va a NoSuchCon en Novembre ?

  • # pwnd

    Posté par  (site web personnel) . Évalué à 3.

    Au final, vos PC sont destinés à être hacké et vous ne pouvez pas faire grand chose pour contrer cela.

    C'est un peu le problème des conférences de sécurité. Ça a tendance à faire perdre espoir.

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.