Une semaine après le SSTIC, Intrinsec était présent à la 5ème édition de la conférence Hack In Paris qui se déroulait cette année à l’Académie Fratellini à Saint-Denis.
L’intégralité des supports sera bientôt mis à disposition sur le site de la conférence :
Keynote : Analogue Network Security – Winn Schwartau
Winn Schwartau est le fondateur de plusieurs sociétés de sécurité, dont « The Security Awareness Company ». Il est notamment réputé pour ses idées originales cherchant à questionner la communauté.
C’est justement ce qu’il essaie de faire pour cette conférence d’ouverture sur un concept qu’il définit comme la « Sécurité analogique ».
L’idée est de s’inspirer de notions habituellement associées au mode analogique et de les transposer aux méthodes de défense. On pourra citer par exemple :
- Arrêter d’imaginer qu’un produit de sécurité a deux états : soit il laisse passer une attaque, soit il la bloque. Mais, à la manière des certifications de coffres-forts, l’évaluer par rapport au temps nécessaire à un attaquant pour le contourner.
- Ne pas laisser à un seul compte d’administration la totalité des privilèges mais forcer une granularité dans les actions d’administration et les comptes associés. Cela a pour effet que certaines actions nécessitent la présence de plusieurs administrateurs. Il convient alors de pondérer la chaine de décision par le temps (période de validation par défaut) et par la confiance qu’on peut accorder à un administrateur plutôt qu’à un autre.
- La notion de détection en profondeur en ajout à celle de défense en profondeur. L’idée ici est celle d’une infrastructure de détection décentralisée qui remonterait une « note » vraisemblance de compromission et qui pourrait permettre d’agir avec plus de finesse qu’en considérant uniquement deux états : attaque non détectée / attaque détectée. Une action citée serait par exemple de réduire le débit des lignes pour ralentir l’attaquant et approfondir l’analyse.
De façon générale, le principe est globalement de jouer avec le temps en se basant sur le classique : temps nécessaire à l’attaque complète > temps de détection + temps de réaction.
Trois solutions pour orienter le rapport de force dans ce sens : soit en ajoutant du délai à l’attaquant (produits de sécurité, baisse du débit) soit en réduisant le temps de détection (ajout de matériel de détection) ou le temps d’intervention (acceptation des validations par défaut dans le cas de plusieurs administrateurs).
You don’t hear me but your phone’s voice interface does – Jose Lopes Esteves & Chaouki Kasmi
José Lopes Esteves et Chaouki Kasmi sont chercheurs au laboratoire « Sécurité des technologies sans-fil » de l’ANSSI.
Leur présentation était une version détaillée de la présentation courte réalisée par José Lopes Esteves au SSTIC et déjà résumée sur ce blog (SSTIC – première journée).
Le papier, en français, est téléchargeable sur le site de l’ANSSI :
Copy & Pest : a case-study on the clipboard, blind trust and invisible cross-application xss – Mario Heiderich
Mario Heiderich est chercheur en sécurité à l’université de la Ruhr à Bochum (RUB).
La présentation commence par une démonstration durant laquelle Mario Heiderich compose un message sur l’interface web de son compte Gmail, copie le contenu (apparemment légitime) d’un document LibreOffice et le colle dans son interface de rédaction, faisant apparaitre une alerte Javascript.
Pour expliquer ce comportement, il débute par un historique du presse-papier et finit par détailler les attributs qui ont permis ce comportement. Pour observer l’état du presse-papier, le chercheur s’appuie sur l’application ClipView de Peter Büttner (http://sourceforge.net/projects/clipview/). Le presse-papier stocke les données sous plusieurs formats (« Buckets ») qui sont définis par l’application source pour que le contenu copié soit interopérable avec d’autres applications. Ainsi, même un simple texte écrit dans un bloc note est copié sous 4 formats différents.
Dans le cas d’un document LibreOffice ou Word, le presse papier stocke notamment le contenu du document au format HTML, c’est ce format qui sera utilisé lorsque le texte sera collé dans l’interface web de Gmail. L’idée est donc de faire en sorte que du code Javascript soit présent dans le bucket HTML du presse-papier.
Pour injecter du code HTML, l’auteur s’appuie sur le nom des polices à utiliser. Cet attribut peut être modifié directement dans les fichiers odt qui sont des archives disposant d’un fichier styles.xml contenant les polices utilisées dans le document et notamment la police « Micro Hei » utilisée comme police par défaut pour l’affichage de contenus en chinois.
Toutefois, les navigateurs web filtrent en partie le contenu du bucket HTML du presse-papier avant de le coller, il n’est donc pas possible d’injecter directement des scripts ou des iframes. Afin de contourner ce filtre, l’auteur s’appuie sur l’attribut animate des données SVG et parvient ainsi à exécuter du code dans Chrome et Firefox.
Le reste de la présentation est consacrée aux essais sur d’autres formats que le format odt. Le format docx étant conçu de manière similaire (archive contenant un ensemble de fichier dont notamment document.xml dans lequel est inscrit les polices à utiliser), la technique est facilement transposable. Bien que PDF reader ne créé pas de Bucket HTML, il créé un bucket RTF que Internet Explorer convertit lui-même en HTML avant de le copier, une attaque est donc possible sur ce navigateur en modifiant le pdf directement avec un éditeur hexadécimal.
La présentation est conclue par quelques éléments à prendre en compte pour parer à ces vulnérabilités :
- Pour les développeurs des navigateurs : améliorer les filtres
- Pour les développeurs d’applications web : ajouter une couche de filtrage
- Pour les utilisateurs : ne pas copier n’importe quoi
L’intégralité de la présentation est disponible ici : http://fr.slideshare.net/x00mario.
Backdooring X11 with much class and no privileges – Matias Katz
Matias Katz est le CEO de la société de sécurité Mkit Argentina.
L’auteur est parti de l’idée que si quelqu’un voulait accéder aux informations contenues sur son poste, le plus simple était de voler le poste. Toutefois, le disque étant chiffré, le scénario qu’il envisageait était un vol agressif pendant l’utilisation du poste, avec une session déverrouillée.
La première phase de son projet était donc de faire une clé qui devait être branchée en permanence au poste et dont le débranchement aurait pour effet le verrouillage de la session. Pour ce faire, l’auteur a créé un script en python se basant sur D-Bus qui vérifie toutes les secondes la présence d’un périphérique USB avec le bon id et qui, en cas d’absence du périphérique, verrouille la session via D-Bus.
La deuxième phase de son projet a logiquement été de faire la même chose dans l’autre sens : déverrouiller une session en branchant un périphérique. Afin d’éviter d’utiliser l’interface USB qui est particulièrement scruté par les anti-virus, l’auteur se base sur la sortie jack sur laquelle le branchement d’un périphérique est également directement remonté au système, même lorsque la session est verrouillée mais qui n’est pas surveillé par les anti-virus. Toutefois, les périphériques audio ne disposant pas d’id spécifique, l’auteur a modifié son script python pour qu’il ne déverrouille qu’après avoir reconnu un pattern spécifique (périphérique branché pendant 1 seconde, débranché pendant 3 secondes, branché pendant une seconde).
Breaking in bad (I’m the one who doesn’t knock) – Jayson E. Street
Jayson E. Street est consultant chez Pwnie Express.
La présentation est un retour d’expérience des techniques d’ingénierie sociales mises en œuvre lors de ses différentes missions avec un constat qui revient : pourquoi faire des attaques techniques complexes alors qu’avec un bon scénario et un peu de politesse, on peut obtenir un accès physique aux serveurs qui nous intéresse très rapidement ?
Dans les différents exemples présentés, photos et vidéos à l’appui, on notera :
- Le scénario du technicien informatique qu’on laisse se promener derrière les guichets et à qui on demande d’intervenir dans les salles serveur d’une banque de Beyrouth ;
- Le pied dans la porte pour entrer dans un bâtiment de la trésorerie américaine, attendre le départ de tous les employés en faisant semblant d’être au téléphone et demander à un membre de l’équipe de ménage de lui ouvrir les portes en prétextant avoir oublié ses clés à l’intérieur ;
- Le scénario du faux producteur d’un reportage TV sur une association de charité pour jouer sur la fierté des collaborateurs de l’association et se voir ouvrir toutes les portes.
Bootkit via SMS : 4G acces level security assessment – Timur Yunusov
Timur Yunusov est chercheur en sécurité applicative et membre de la SCADA StrangeLove Team.
Le point de départ de la présentation est la présence de point d’accès 4G sur une variété très importante d’équipements : ATM, SCADA, IoT, etc.
L’auteur explique dans un premier temps que de nombreux opérateurs ont des services GGSN (GPRS Gateway Support Node) accessibles directement sur Internet et développe plusieurs scénarios d’attaque sur ces équipements (DOS, fraude, récupération d’APN).
La seconde phase de la présentation développe un scénario d’attaque sur des équipements du réseau via SMS. Ces attaques sont possibles sur plusieurs équipements qui gèrent mal les messages (notamment des modems USB pris en exemple) et dont l’auteur a pu prendre le contrôle. Une fois le modem USB contrôlé, il cherche à prendre la main sur le poste sur lequel est branché le modem : l’idée est de faire passer le modem pour un clavier à la manière d’un Teensy pour injecter des touches clavier et essayer de prendre le contrôle du poste par ce biais.
La dernière phase devait être consacrée aux attaques sur les applications JavaCards présentes sur les cartes SIM mais le retard pris sur les premières parties a contraint l’auteur à arrêter sa présentation précipitamment, dommage.
DDOS Mitigations’ Epic Fail collection – Moshe Zioni
Moshe Zioni est consultant pour des multinationales et des développeurs de solutions de sécurité.
L’auteur commence par un rappel sur les DDOS, les principes d’amplification et de réflexion. Il précise notamment que contrairement à l’idée reçue, la majorité des DDOS ne sont pas due à une saturation de la bande passante (53% des attaques ont un débit inférieur à 2Gbps).
Au cœur de la présentation, 10 phrases entendues par l’auteur chez ses clients (développeurs de solution anti-DDOS ou multinationale configurant ces mêmes solutions sur leur infrastructure) durant ses tests de DDOS. Il explique pourquoi ces affirmations entendues sont insuffisantes, mal comprises ou simplement fausses.
Conclusion : comme pour tout en sécurité informatique, avant d’acheter une solution anti-DDOS, il est nécessaire de se bien comprendre le concept de DDOS et les différentes réalités qu’il recouvre. Sans ça, la mise en place d’une solution est vouée à l’échec.
