Intrinsec était présent à la 9ème édition de la conférence de sécurité Insomni’hack organisée par SCRT à Genève du 17 au 19 mars 2016.

Edit 18/4/2016:

• Notre compte-rendu en vidéo
• Le support complet

La journée du 17 mars était consacrée aux workshops :

• Analyse forensic de systèmes Windows avec des outils gratuits (Sébastien Andrivet)
• Sécurité des applications Web avancées (Alain Mowat)
• Utilisation avancée de Metasploit (Adrien Stoffel & Julien Oberson)

Et la journée du 18 mars était dédiée aux conférences suivies par le très célèbre CTF.

A Hippocratic Oath for Connected Medical Devices

Après 10 ans d’expérience dans le milieu médical, Beau Woods connait bien les problématiques de celui-ci. Il nous a présenté les travaux de « I am the cavalry », une organisation mondiale se concentrant sur les questions relatives à la sécurité lorsque la sûreté publique et la vie humaine sont en jeu.

Cinq questions ont été posées aux parties prenantes du milieu de la santé :

• Qui êtes-vous ?
• Quels sont vos espoirs ?
• Quelles sont vos peurs ?
• Avez-vous une question ?
• Que pouvez-vous apporter ?

Le serment proposé par l’organisation « I am the cavalry » est basé sur les 5 composants suivants :

• Conception sécurisée des produits
• Collaboration des tiers (divulgation de bugs)
• Extraction de preuve afin d’améliorer les investigations
• Résilience et confinement à l’image de ce qui se fait dans les sous-marins
• Mises à jour de « cyber ® » sécurité

Sa présentation s’est terminée par un appel à l’action afin de :

• Préconiser
• Adopter
• Adapter
• Enrichir
• Collaborer

Lien : https://www.iamthecavalry.org/

Crypto code: the 9 circles of testing

JP Aumasson a présenté 9 axes de tests qui, s’ils sont respectés, pourraient permettre d’améliorer la sécurité des fonctions cryptographiques :

• Vecteurs de test
  • Faire des tests unitaires sur toutes les fonctionnalités
• Les bugs simples
  • Buffer overflow, corruption de mémoire, fuites d’information
  • Faire des analyses statiques du code et du fuzzing
• Mauvaise utilisation du logiciel
  • Bien gérer les mauvaises entrées utilisateurs et gérer correctement les erreurs
• Les fonctionnalités optionnelles
  • Présence de fonctionnalités optionnelles qui ne sont pas testées et comportent des vulnérabilités
• Génération de nombres aléatoires
  • Faire des tests statistiques sur les aléas
• Timing leak
  • Le temps d’exécution doit être constant et non dépendant de la taille de la clé ou des fonctions utilisées
• Le fuzzing
  • Utilisation de l’outil AFL…
• Les preuves mathématiques
  • Est-ce que ma fonction de chiffrement est mathématiquement prouvée ?
• Les tests physiques
  • Side-channel, résistance aux fautes

Unboxing the white-Box

Eloi Sanfelix nous a présenté les différentes approches possibles d’analyse cryptographique :

• Boîte noire :

• Boîte grise :

• Boîte blanche :

Il a ensuite consacré sa présentation à la cryptographie de type white-box, utilisée dans différents domaines comme les applications de paiement mobile, les systèmes de protection de contenu ou encore l’utilisation de la cryptographie dans le cloud.

Deux démonstrations techniques ont été réalisées pour illustrer les attaques en white-box et la récupération des clés de chiffrement utilisées dans le cadre du challenge wbDES.

Les deux attaques sont composées des étapes suivantes :

Differential Fault Analysis (DFA)

• Localisation d’un point d’injection
• Récupération des échantillons
• Analyse des erreurs générées

Side channel Analysis (SCA)

• Instrumentation
  • Instrumentation (PIN, Valgrind)
  • Capture de la pile par tour (Hooking, debugger)
  • Émulation (QEMU, Unicorn, PANDA)
• Exécution multiple de données aléatoires
• Récupération des données de mesure
• Analyse SCA

Il a conclu sa présentation en démontrant l’efficacité des attaques SCA sur la cryptographie white-box et donc la faiblesse de celle-ci.

Pour pallier à cela les recommandations sont, selon lui, d’améliorer les protections contre la rétroingénierie et de renforcer les protections contre l’extraction de clés en évitant les dépendances statiques entre les intermédiaires et le système de gestion de clés et de procéder à une vérification double des données encodées.

Lien : http://www.whiteboxcrypto.com/challenges.php

IAEA – The role of the IT security specialists at the International Atomic Energy Agency

Massimiliano Falcinelli a présenté son rôle au sein de l’IAEA, la branche des Nations Unies en charge de tout ce qui se rapproche de l’énergie atomique, ainsi que les menaces contre lesquelles il doit lutter quotidiennement.

Après un bref rappel sur le rôle de l’organisation et la complexité de gérer la sécurité d’une organisation internationale composée de collaborateurs d’une centaine de différents pays d’origine, il s’est intéressé aux profils des attaquants. Il s’agit principalement de script-kiddies, d’hacktivistes ou d’attaquants étatiques. Du côté des attaques, l’IAEA est principalement la cible d’attaques de type social-engineering, d’intrusions physiques ou de compromissions externes à des fins de revendication ou pour récupérer des informations diverses.

 

Building Trust by Design

Hoang Bao, directeur de la politique de confidentialité et de gouvernance des données chez Yahoo, nous a présenté l’approche utilisée par cette entreprise afin de protéger les données de leurs utilisateurs.

Selon lui, les domaines principaux à considérer sont les suivants :

• Comprendre l’utilisateur final
• Collecter uniquement les données nécessaires
• Prévenir et laisser le choix aux utilisateurs
• Utiliser des outils existants (contrôles iOS, Android)
• Améliorer la sécurité
• Étendre la valeur des données

Il nous a également présenté les différences géographiques rencontrées comme le droit à l’oubli, l’accès aux données à caractère personnel ou encore les obligations en terme de notification des utilisateurs suite à une compromission (fixée à 72 heures en Europe).

Des conseils ont été proposés pour améliorer la sécurité des données utilisateur (stockage, rétention et suppression des données, contrôle d’accès, transport sécurisé (SSL), journalisation, choix des tiers…) et comment étendre la valeur des données en anonymisant celles-ci et en utilisant des techniques d’obfuscation.

Il a conclu sa présentation en indiquant que chez Yahoo la priorité était donnée à l’utilisateur, que des contrôles significatifs étaient en place et que la sécurité était un prérequis pour la protection de la vie privée et la sureté.

8 security lessons from 8bit games

Florian Hammers, ingénieur d’affaires chez Tenable, a présenté la vision de Tenable de la sécurité. La priorité n’est pas selon lui de se protéger contre les 0-day mais plutôt contre les vulnérabilités connues qui sont toujours présentes sur le réseau.

Il a illustré chaque principe avec un jeu 8bits.

• La technique pour gagner à « Space Invader » est de prévoir le parcours des ennemis, il est donc important de bien connaitre sont SI afin de connaitre les vulnérabilités potentielles.
• Dans Pong, plus la surface d’attaque est réduite, plus il est difficile pour l’adversaire de gagner, il faut donc réduire la surface d’exposition.
• Dans le monde de Mario, la princesse Peach est vulnérable et se fait régulièrement enlever, comme vos utilisateurs. Il est donc important de bien les protéger.
• Quand l’on joue à Tetris, détruire 4 lignes d’un coup rapporte plus de points, mais nécessite la construction de bonne fondation, comme pour votre SI.
• Une vue à 360° de ce qui se passe sur votre SI sera la clé de la victoire dans Asteroid.
• Les Goombas de Super Mario sont lents et pourtant ils tuent toujours des joueurs, tout comme les malwares infectent toujours des utilisateurs à cause de bases antivirales n’étant pas à jour.
• Il est nécessaire d’être agile face au changement, tout comme dans Sonic pour avoir toutes les pièces. Il faut faire certains choix et proposer des solutions.
• Enfin dans Pacman l’objectif n’est pas d’avoir tous les fantômes. De même il faut différencier ses envies de ses besoins afin de les faire concorder avec les besoins métiers.

Les slides sont disponibles sous forme de vidéo à l’adresse suivante : https://www.youtube.com/watch?v=y5PQ9vJBXxA

Reversing Internet of Things from mobile applications

Axelle Apvrille nous a présenté son approche d’analyse des objets connectés tels que les lunettes Recon Jet, la brosse à dents Beam Toothbrush et le système d’alarme Meian.

En utilisant cette approche, elle a découvert l’utilisation d’un mot de passe codé en dur dans l’application mobile des lunettes connectées Recon Jet.

Selon elle, commencer par la rétro-ingénierie des applications mobiles permet une prise en main plus rapide et une connaissance plus complète des objets audités.

Ransomware for IoT

Candid Wueest nous a présenté les motivations des attaquants ciblant les objets connectés afin de réaliser du ad-clickjacking, de déposer des ransomwares/lockers ou encore d’infecter d’autres appareils via ces objets connectés.

Les scénarios d’attaque sont le blocage et le chiffrement des appareils ou encore l’ingénierie sociale.

Il a conclu sa présentation en recommandant les points suivants :

• Sécuriser les objets connectés by design
• Analyser le trafic réseau
• Ne pas connecter ceux-ci à internet
• Utiliser de l’authentification forte
• Ajouter un support pour le debug

From Bored Hacker to Board CISO, a short-n-fun tale

Cette conférence peut être difficilement résumée. Les liens suivants peuvent être consultés afin de vous donner un petit aperçu :

• https://en.wikipedia.org/wiki/Ding_Dong_Song
• https://www.youtube.com/watch?v=z13qnzUQwuI
• https://en.wikipedia.org/wiki/Mr._Hankey,_the_Christmas_Poo
• https://www.youtube.com/watch?v=-KIUM3uo2UA
• https://en.wikipedia.org/wiki/The_Art_of_Thinking_Clearly
• https://en.wikipedia.org/wiki/The_48_Laws_of_Power
• https://en.wikipedia.org/wiki/The_Truth:_An_Uncomfortable_Book_About_Relationships
• https://www.youtube.com/watch?v=9IG3zqvUqJY
• https://www.youtube.com/watch?v=whEWE6WC1Ew
• https://www.youtube.com/watch?v=5JAqZ1IGwjM
• http://www.imdb.com/title/tt2717822/
• https://www.youtube.com/watch?v=3P7wZ4rDbUc&feature=youtu.be&t=1109

CTF

Plus de 200 personnes ont participé au CTF cette année. Celui-ci a débuté à 18h et s’est terminé 10 heures plus tard vers 4h du matin.

Comme pour la plupart des challenges de ce type, plusieurs catégories étaient proposées aux équipes :

• Catégories :
• Backdoor
• Crypto
• Hardware
• Misc
• Network
• Pwn
• Reverse
• Shellcode
• Web

Les lots cette année étaient 4 kg d’argent répartis comme suit :

• 1ère place : 8 * 250g
• 2ème place : 8 * 155g
• 3ème place : 8 * 100g

Et c’est encore une fois « Dragon Sector » qui, pour la quatrième année de suite, a largement remporté la première place avec un total de 169400 points. Le classement final étant le suivant :

Les solutions des différentes épreuves peuvent être consultées à l’adresse suivante : https://github.com/ctfs/write-ups-2016/tree/master/insomnihack-ctf-2016