Dans le cadre de ses activités de veille, Intrinsec était présent à la seconde édition de la conférence internationale NoSuchCon qui se déroulait du 19 au 21 novembre 2014 à l’espace Niemeyer au siège du PCF à Paris. Les présentations étaient en Anglais, techniques et sans langue de bois (« bullshit-free »).
(source : http://www.nosuchcon.org/)
Nous vous proposons des résumés des différentes présentations de la conférence : jour 1, jour 2 et jour 3 (cet article).
Nous tenons aussi à remercier les organisateurs et étudiants bénévoles qui ont très bien géré cet événement, ainsi que les orateurs qui ont partagé leurs connaissances et découvertes.
Jour 3
« Reverse engineering MSP 430 device » – Braden Thomas (Accuvant)
Slides : non diffusées
Braden Thomas a présenté un objet populaire aux États-Unis et au Canada, mais inconnu en France : les « real-estate lock boxes ». Ces boîtiers sont posés sur les poignées de porte des maisons à vendre et stockent les clés du bien pour l’accès des agents immobiliers autorisés.
Les boîtiers de nouvelle génération peuvent s’ouvrir sans-contact de différentes manières : clé électronique du fabricant, application Android ou iOS (Bluetooth) ou émetteur infrarouge.
L’orateur a présenté le résultat de ses recherches sur la sécurité de ces dispositifs. Les vulnérabilités découvertes n’étant pas encore corrigées par le constructeur (qui est toutefois réceptif et coopératif), il a choisi de ne pas diffuser sa présentation.
Braden a notamment réussi à extraire le firmware du microcontrôleur MSP430 utilisé, en contournant les fusibles désactivant le port JTAG par une procédure intitulée « paparazzi attack » qui nécessite de décaper la puce et de lui faire subir des flashs de lumière.
The « Paparazzi » attack: decap a chip and use a flash to affect its behaviour… Like in a James Bond movie! #NoSuchCon
— Xavier Mertens (@xme) 21 Novembre 2014
Il a également découvert une porte dérobée matérielle se présentant sous forme d’une résistance entre deux ports du microcontrôleur : il suffit de dé-souder celle-ci, ou de la détruire en perçant au bon endroit de l’extérieur. En conclusion, Braden rappelle qu’il est déconseillé de stocker des secrets cryptographiques dans un microcontrôleur standard qui n’est pas prévu pour résister à leur extraction.
« Attack on the Core » – Peter Hlavaty (Keen Team)
Slides : http://www.nosuchcon.org/talks/2014/D3_02_Peter_Hlavaty_Attack_on_the_core.pdf
Peter Hlavaty est un chercheur de vulnérabilités. Sa présentation très technique s’adressait à des habitués du développement d’exploits au niveau noyau. Elle a été l’occasion de montrer plusieurs techniques pour élever ses privilèges jusqu’au niveau noyau lors de l’exploitation d’une vulnérabilité. Il a également introduit son framework de développement de shellcodes en C++.
« Cryptographic Backdooring » – Jean-Philippe Aumasson (Kudelski Security)
Slides : http://www.nosuchcon.org/talks/2014/D3_03_Jean_Philippe_Aumasson_Cryptographic_Backdooring.pdf
Les révélations récentes sur les programmes nationaux d’espionnage informatique ont plus que jamais mis le doute sur la possible présence de portes dérobées dans les algorithmes cryptographiques et leurs implémentations, celles-ci permettant aux organisations gouvernementales le déchiffrement des communications dans le cadre d’interceptions légales.
Jean-Philippe Aumasson a rappelé qu’il est difficile de construire des portes dérobées fiables et le risque est toujours présent qu’elles soient exploitées par des personnes malintentionnées.
L’orateur a présenté les propriétés souhaitées pour une bonne porte dérobée. En particulier le terme attribué à la NSA : NOBUS « no one but us », qui signifie que la vulnérabilité ne doit être exploitable que par l’agence seule.
Jean-Philippe a montré quelques possibilités de conception et d’implémentation de portes dérobées. En conclusion : selon l’orateur il est facile d’insérer des portes dérobées.
« Hardware Workshop – Fun with RF remotes » – Damien Cauquil (Sysdream)
Slides, fichier PCB, manuel : https://github.com/virtualabs/NSC14-HW
Cet atelier était proposé durant la pause-déjeuner. Damien Cauquil a rappelé les mécanismes de communications sans-fil et a démontré comment intercepter celles-ci. L’atelier a porté sur la modification d’un système de carillon sans-fil grand public. Une télécommande est située à l’extérieur de la maison et communique avec le carillon, cet échange est protégé par un code sur 6 bits.
Damien a proposé de modifier la télécommande pour ajouter une carte électronique qui implémente une attaque automatique par force brute sur les 6 bits du code à l’aide d’un composant générant une horloge et d’un compteur (pour générer les combinaisons successives). Ce hack est intéressant dans la mesure où il réutilise la télécommande légitime et ne nécessite pas de réimplémenter la partie radio.
« Detecting BGP hijacks in 2014 » – Guillaume Valadon, Nicolas Vivet (ANSSI)
Slides : http://www.nosuchcon.org/talks/2014/D3_04_Guillaume_Valadon_Nicolas_Vivet_detecting_BGP_hijacks.pdf
Le protocole BGP est utilisé au niveau d’Internet pour échanger des informations de routage entre les différents réseaux (AS : Autonomous Systems). Les AS annoncent via ce protocole les préfixes des réseaux IP qu’ils gèrent, ce protocole nécessite donc de faire confiance aux annonces reçues. Il est ainsi possible de détourner le trafic à destination de réseaux.
D’après les orateurs, en Europe l’enregistrement d’un numéro d’AS et une plage d’adresse /22 coûtent tous deux 50 € par an et permettent de participer aux échanges BGP.
BGP highjacks are used to launch spam campaign from fresh IPs #NSC14 — Taiki (@Taiki__San) 21 Novembre 2014
Une contre-mesure est possible : déclarer dans l’objet « route » de l’enregistrement WHOIS du réseau quel(s) est/sont les AS autorisé(s) à annoncer le préfixe, mais tous les gestionnaires de réseaux ne le font pas encore.
Guillaume Valadon a présenté la méthodologie et les résultats d’analyses effectuées hors-ligne sur 1 an de trafic BGP pour détecter ces usurpations de préfixes. De nombreux événements suspicieux sont générés et plusieurs techniques permettent d’en réduire le nombre afin d’arriver à un volume pertinent et traitable manuellement. Environ 10 tentatives sérieuses d’usurpation contre des opérateurs français ont été détectées sur l’année de cette manière.
Nicolas Vivet a présenté comment cette méthodologie et ces outils ont été modifiés pour effectuer des détections en temps réel. Quelques exemples concrets ont été présentés, dont notamment une suspicion d’usurpation d’un préfixe IPv6 d’opérateur français par un opérateur ukrainien, qui s’est révélé après investigation être l’opposé : l’opérateur français avait oublié un zéro dans l’adresse IPv6 qu’il annonçait !
En conclusion : le trafic peut être redirigé, il est donc important de le chiffrer et de l’authentifier. Les opérateurs doivent surveiller le trafic BGP portant sur leurs préfixes et être prêts à contre-attaquer. Enfin, les bonnes pratiques (BCP) de l’IETF doivent être implémentées par les opérateurs.
« Unreal mode: breaking protected processes » – Alex Ionescu (CrowdStrike)
Slides : http://www.nosuchcon.org/talks/2014/D3_05_Alex_ionescu_Breaking_protected_processes.pdf
Cette présentation n’a pas été révélée avant la conférence, en effet la vulnérabilité présentée par Alex Ionescu a été découverte en août, mais ne sera corrigée par Microsoft qu’en janvier. Celui-ci n’a donc obtenu que la veille l’autorisation de présenter en omettant les détails.
Dans les versions récentes du système d’exploitation Windows, un accès administrateur ne signifie plus un accès sans limites au système : de plus en plus de fonctionnalités ne sont accessibles qu’en mode noyau beaucoup plus difficile à atteindre.
Cette distinction permet de créer des processus protégés (voir également ce sujet la présentation du jour 2 « Understanding and defeating Windows 8.1 Patch Protections: it’s all about gong fu! (part 2) » d’Andrea Allievi) et donc par exemple d’implémenter de manière cloisonnée des mécanismes de DRM, mais aussi des processus et services impossibles à arrêter, même en tant qu’administrateur.
Alex a rappelé les différents niveaux de signature et de privilèges des processus. Par exemple sur un Windows de bureau classique on peut exécuter n’importe quel programme, tandis que sur un Windows de tablette Surface seuls les programmes signés par Microsoft peuvent s’exécuter normalement.
Le processus LSASS gérant l’authentification peut être protégé pour éviter le vol des informations qu’il contient (par exemple avec mimikatz). Cependant Alex a montré qu’en exploitant le gestionnaire de crashes de Windows (Windows Error Reporting) il est possible d’obtenir un dump de ce processus et ainsi contourner la protection ! Ce dump étant celui d’un processus protégé il est normalement chiffré, cependant Alex a découvert une vulnérabilité (qui sera corrigée en janvier) qui permet d’obtenir ce fichier en clair et de l’exploiter avec mimikatz pour obtenir quand même les informations d’identification.
Now dumping his « real » user password from LSASS memory dump in front of 400 hackers @aionescu is really into this « live demo » thing 🙂
— NoSuchCon (@NoSuchCon) 21 Novembre 2014
En conclusion, la possibilité de protéger des processus dans Windows 8.1 améliore le niveau global de sécurité de l’OS, sans protéger toutefois des attaques au niveau noyau. La prochaine version Windows 10 contiendra des fonctionnalités encore plus avancées qui protègent également contre un attaquant au niveau noyau.
« No Such Security » – Anthony Zboralski (Belua)
Slides : aucune
Anthony Zboralski a délivré une keynote de clôture pendant laquelle il a présenté ses expériences dans le monde professionnel de la sécurité informatique et lors de missions d’évaluation de la sécurité (tests d’intrusion, audits, etc.). Il a évoqué un sentiment partagé par plusieurs consultants dans l’audience par l’intermédiaire du mythe de Sisyphe, condamné à effectuer en boucle la même tâche jour après jour. Il se rappelle des recommandations formulées suite à des tests d’intrusion ainsi que des formations délivrées, en vain, puisqu’année après année il redécouvrait les mêmes failles dans les entreprises qu’il testait.
#NSC14 #NoSuchCon Anthony Zboralski : « Le consultant sécurité, c’est l’inspecteur des travaux finis. » en français dans le texte — contact (@_c_o_n_t_a_c_t_) 21 Novembre 2014
« Challenge Results »
Slides intro : http://www.nosuchcon.org/talks/2014/NSC_Challenge_intro.pdf
Slides solution : http://www.nosuchcon.org/talks/2014/NSC_Challenge_solution.pdf
Nicolas Collignon et Eloi Vanderbeken ont présenté les résultats du challenge complexe et multicompétence qu’ils avaient organisé. Puis le gagnant, Fabien Perigaud, a été invité à présenter les étapes de sa résolution (notamment une attaque de timing sur le cache du processeur pour exfiltrer une clé RSA !).
— Clément Notin
