SSTIC 2012 – Deuxième journée

Partant du postulat que les deux vecteurs principaux de malwares sont soit des logiciels utilisant uniquement le processeur, soit des logiciels impliquant d’autres composants matériels (firmwares malveillants, clés USB …), le premier type de malware étant déjà beaucoup étudié, le CNRS a souhaité travailler sur le 2^ème type afin de proposer des contre mesures matérielles ou logicielles.La présentation porte donc sur IronHide, un contrôleur d’entrées / sorties générique développé par le CERN pour illustrer les attaques réalisables et tester les contre mesures qui seront identifiées par l’équipe.Après quelques démos intéressantes comme l’accès direct à la mémoire vidéo ou l’interception et le rejeu de frappes au clavier (keylogging), le conférencier évoque l’avenir des travaux : la détection de backdoors matérielles, la transformation d’ironHide en IDS / IPS matériel…

A l’origine, la Loi sur la Confiance en l’Economie Numérique (LCEN) a défini 3 statuts : hébergeur, fournisseur d’accès et éditeur. Romain Beeckman présente ici les contraintes juridiques des hébergeurs vis-à-vis des contenus illégaux et de la traçabilité.

Les contraintes de base sont les suivantes :

• Conservation des journaux d’accès pendant 12 mois (risque de 75k€ d’amende et d’emprisonnement en cas de non respect) ;
• Mise à disposition d’un système de notification de contenu « manifestement illégal » à destination des particuliers.

Le conférencier revient également sur les points de litige souvent constatés, notamment le fait que si un hébergeur a la possibilité de modifier le contenu d’un site alors il peut être reconnu comme éditeur et être condamné pour un contenu illégal. Il est également question de nouvelles jurisprudences qui en plus d’imposer la notification de suppression d’un contenu illégal, demandent aux hébergeurs de mettre en place des mécanismes empêchant la réapparition des contenus.

Il est enfin question des hébergeurs dits « 2.0 » (ex : Youtube, Dailymotion…) tirant des bénéfices de la consultation des contenus et qui doivent également mettre en place des mécanismes conformes à l’état de l’art pour détecter et supprimer les contenus illégaux.

Slides : pas de slide

Résultats du challenge
Conférenciers : Axel Tillequin, Fabien Perigaud, Florent Marceau

Présentation des solutions du challenge SSTIC 2012. La solution présentée, extrêmement complexe, est celle qui a été jugée la plus « élégante » par le jury. Vous pouvez retrouver tous les détails du challenge ainsi que les solutions proposées à cette adresse : http://communaute.sstic.org/ChallengeSSTIC2012

Présentations courtes
Conférencier : Anthony Desnos (virustotal)

Présentation de 2 outils permettant d’analyser les applications Android :

• Elsim : http://code.google.com/p/elsim
• Androguard : http://code.google.com/p/androguard

Ces outils sont utilisés pour détecter les bibliothèques utilisées sur des applications en se basant sur la signature des fonctions. Ces outils ont permis de voir qu’en moyenne, moins de 50% du code des applications gratuites est du vrai code « métier », le reste n’étant pour la plupart que des bibliothèques publicitaires.

Slides à venir

Conférencier : Davide Canali (iseclab)

Présentation d’un « honeypot » de CMS utilisé pour analyser les attaques sur les applications web et surtout pour pouvoir étudier le comportement des attaquants.

La démarche est la suivante :

• Utilisation de 500 sites Web différents avec 7 CMS chacun et des webshell cachés
• 100 noms de domaine achetés
• Un hébergement réparti sur 8 hébergeurs
• Mise en place d’une gestion centralisée via un script faisant office de proxy permettant de rediriger le trafic vers 7 machines virtuelles cloisonnées (1 par CMS) et de collecter les logs.

La démarche a permis de collecter 9.5go de données (GET et POST), 69 000 attaques détectées, ainsi que de nombreux outils utilisés par les attaquants.

Slides à venir

Pierre Karpman (ENS Cachan , Supélec)

Présentation de l’outil SIDAN permettant de durcir les programmes développés avec le langage C.

L’outil utilise plusieurs mécanismes de durcissement, tels que :

• La détection et la vérification des invariants des programmes ;
• Contrôle et validation des zones de variation des variables ;
• Contrôle de cohérence et validation des constantes.

L’utilisation d’un tel outil (disponible à cette adresse http://www.rennes.supelec.fr/ren/rd/cidre/tools/sidan/) semble assez intéressante pour les développements en C.

Slides à venir

Contrôle d’accès mandataire pour Windows 7
Conférenciers : Christian Toinard, Damien Gros (CEA), Jérémy Briffaut

Jugeant que la fonctionnalité « Mandatory Integrity Control » intégrée depuis Windows Vista n’est pas suffisante, les conférenciers présentent un outil de contrôle d’accès mandataire pour Windows 7 dérivé de la philosophie de SE Linux.

Le but de la solution est de réduire les privilèges des processus (même des processus privilégiés) en définissant une politique précise « qui a accès à quoi » sur la machine afin de ne pas se limiter au modèle discrétionnaire standard(RWX).

Le but est donc de définir une politique complète des droits de chaque utilisateur et processus (la politique peut être fastidieuse à mettre en place) en gardant à l’esprit que tout ce qui n’est pas défini est interdit par défaut.

Les slides
L’article

Expert judiciaire en informatique
Conférencier : MEM Zythom

La conférence était très attendue par beaucoup de monde, notamment suite à l’attaque subie par Zythom la veille de la présentation ou plus simplement pour connaitre le fameux blogueur .

La conférence a donc commencé en rappelant les étapes à suivre pour devenir expert judiciaire à savoir déposer un dossier précisant la « rubrique » d’expertise et précisant le CV de l’expert et les moyens mis à disposition du demandeur d’expertise (l’outillage possédé par l’expert). Il est rappelé que la manière dont le dossier est validé reste mystérieuse.

Zythom a ensuite passé en revue les types d’expertises qu’il a été amené à effectuer jusqu’à maintenant : recherche de contenu pédopornographique (instruction), l’informatisation ratée d’une entreprise (commerce), expertise pour un particulier mécontent (civil) ou l’assistance auprès d’une partie (privé).

Enfin, l’outillage utilisé par l’expert fut certainement la partie qui a retenu le plus l’attention des informaticiens présents dans la salle :

• The Sleuth Kit : http://www.sleuthkit.org/
• DEFT Linux : http://www.deftlinux.net/
• Ophrack : http://ophcrack.sourceforge.net/
• Live View: http://liveview.sourceforge.net/
• Photorec, TestDisk : http://www.cgsecurity.org/wiki/PhotoRec_FR
• Encase Forensic Edition: http://www.digitalintelligence.com/software/guidancesoftware/encase7/
• Forensic Toolkit : http://accessdata.com/products/computer-forensics/ftk

Forensic iOS
Conférenciers : Jean Sigwald, Jean-Baptiste Bédrune
Conférence très intéressante sur les mécanismes de chiffrement interne du système d’exploitation mobile d’apple: iOS.

La présentation commence par rappeler les méthodes possibles pour obtenir une image disque du terminal :

• Via une extraction logique en utilisant les backups iTunes (pin du tél requis et mot de passe du backup si utilisé);
• Via une extraction physique des 2 partitions HFS+ (nécessite un accès root au terminal).

Les conférenciers ont ensuite présenté les différentes techniques de chiffrement employées par les terminaux utilisant iOS.

Les terminaux sont tous équipés d’une clé AES 256 unique intégrée au matériel et donc difficilement extractible sans un équipement lourd. Cette clé est la base de tous les mécanismes de chiffrement du terminal. Une évolution dans iOS4 a permis de passer d’un chiffrement de partition standard à un chiffrement par fichier, les clés étant dérivées de la clé AES (1 itération PBKDF2 puis 200 itérations AES ralentissant considérablement une tentative de bruteforce) et pour certaines protégées par le PIN du téléphone. Enfin il est rappelé que le PIN ne peut être bruteforcé que sur le terminal (impossible de manière « offline »).

La conclusion est sans équivoque, le chiffrement développé par Apple est assez fort. En revanche avoir un accès root sur l’équipement affaiblit considérablement ces mécanismes, l’occasion de rappeler que le « jailbreak » est fortement déconseillé sur des terminaux professionnels.

Slides à venir

Rump session
Les sessions RUMP sont l’occasion de présenter succinctement (3min30) des projets ou découvertes plus ou moins sérieux.

Nous avons retenu les projets suivants :

• Uncompyle2 : un décompilateur de bytecode python https://github.com/wibiti/uncompyle2
• Wolfy : un outil permettant d’effectuer des contrôles sur un système compromis http://www.xmco.fr/wolfy-post-forensics.html
• Digital Forensic Framework : un outil open-source d’analyse inforensique http://www.digital-forensic.org/
• Botnets.fr : wiki collaboratif répertoriant et documentant les botnets https://www.botnets.fr/index.php/Accueil
• Hynesim : un outil de simulation de système d’information http://www.hynesim.org/