Hack In The Box Kuala Lumpur...

a dixième édition de Hack In The Box Kuala Lumpur s'est déroulée les 10 et 11 octobre derniers à, comme son nom l'indique, Kuala Lumpur, Malaisie. Au programme figuraient trois tracks proposant une grosse trentaine de talks au sujets assez variés. S'il a fallu faire des choix, ce derniers ont été, en ce qui me concerne, loin d'être aussi mauvais que pour d'autres conférences...

Voici donc un rapide résumé de ceux que j'ai pu voir, ou entrevoir, durant ces deux jours d'une conférence qui, au final, s'est révélée très intéressante.

Jour 0 : mardi 9 octobre 2012

L'arrivée en milieu d'après-midi à l'InterContinental Kulal Lumpur où se déroulait la conférence après près de seize heures de voyage a fait bu bien. Ça m'a en outre laissé le temps de flâner pendant les préparatifs, discuter avec les organisateurs et autres intervenants déjà présents, puis taper l'incruste au dîner des speakers qui se tenait le soir même à l'hôtel.

Jour 1 : mercredi 10 octobre 2012

• "Practical exploitation of embedded systems", Andrea Barisani et Daniele Bianco (Inverse Path). Les auteurs font un retour d'expérience assez détaillé sur l'analyse de systèmes embarqués durant lequel ils partagent les techniques qu'ils utilisent pour accéder au système, dumper et analyser le firmware, injecter leur propre code, etc. Ils terminent par l'application au SMC d'Apple.
• "Don't stand so close to me, an analysis of the NFC attack surface", Charlie Miller. Je ne suis pas resté très longtemps, la conférence se tenant à distance via Skype avec une qualité médiocre qui ne rendait pas l'expérience très sympathique à regarder. J'ai retenu de ce que j'ai vu et du parcours des slides une campagne de fuzzing NFC sous Android, avec un lot de vulnérabilités permettant l'exécution de code distante après un simple scan.
• "Hackers, The Movie, A Retrospective", Don Bailey (Capitol Hill Consultants). Déçu de l'expérience Skype, je me suis rabattu sur cette intéressante présentation qui met en parallèle ce qu'on peut voir dans le film Hackers et dans la réalité. On notera une critique assez pertinente du système de confiance d'OpenSSH avec en particulier l'utilisation de l'agent SSH.
• "Data mining a mountain of vulnerabilities", Chris Wysopal (Veracode). Je n'ai assisté qu'à la toute fin de la présentation et les questions qui ont suivi. Il s'agit d'un retour d'expérience sur l'analyse par Veracode de quelques dix mille applications. Il y a là-dedans pleins de chiffres intéressants, en particulier pour ceux qui veulent alimenter leurs propres présentations ;)
• "OPSEC: Because Jail is for wufpd", The Grugq (COSEINC). Une présentation pas franchement technique présentant les dix commandements à appliquer quand on veut faire des bêtises^[1] sous peine de se faire buster, ainsi que quelques outils adéquats, avec en particulier un projet de routeur anonymisant, PORTAL,. Il illustre son propos par le démantèlement de LulzSec.
• "A historical look at the personal computer and the phreaking scene", John "Captain Crunch" Draper. Un voyage dans le temps sur les débuts du phreaking, le Homebrew Computer Club et quelques autres anecdotes sympathiques.
• "Pwn@Home, an attack path to "jailbreaking" your home router", Frédéric Raynal et Gabriel Campana (QuarksLAB). Frédéric et Gabriel expliquent comment ils ont réussi à compromettre la double box d'un ISP lors de son audit en boîte noire. Plus que le résultat relativement attendu, c'est la méthodologie utilisée pour parvenir à leurs fins qui est intéressante. En démontrant au passage que non, la sécurité réseau n'est pas tout à fait morte ;)
• "iOS6 Security", Mark Dowd and Tarjei Mandt (Azimuth Security). Je n'ai assisté qu'aux dernière minutes, mais ce maigre aperçu semble indiquer une bonne analyse des mécanismes de sécurité proposés par iOS 6 et les différentes manière de les contourner. La conclusion étant que cette dernière mouture de l'OS embarqué d'Apple est nettement plus sécurisé que ces prédécesseurs.
• "IPv6 insecurity revolutions", Marc "Van Hauser" Heuse (THC.org). Un retour sur pas mal de choses dont l'auteur a déjà parlé çà et là. Si je n'adhère pas à l'idée sous-jacente qui voudrait que les gens fassent n'importe quoi parce que persuadés qu'IPv6 serait "plus sécurisé", je suis cependant assez d'accord sur la conclusion comme quoi la transition vers IPv6 annonce pas mal de problème de sécurité, et qu'il reste pas mal de choses à regarder sur le sujet.

Jour 2 : jeudi 11 octobre 2012

• "Behavior-based methods for automated, scalable malware analysis", Stefano Zanero (Politecnico di Milano). L'auteur présente une technique d'analyse automatique de binaire visant dans un premier temps à identifier un programme malicieux, à en extraire le code responsable de ce comportement puis à le rapprocher de souches connues pour le classer. L'approche permet en outre d'identifier des sections de code dormantes par de tels rapprochement. Des résultats d'expérimentation avec un outil implémentation l'approche sont fournis. Un article plus détaillé est également en ligne.
• "Innovative approaches to exploit delivery", Saumil Shah (Net-Square). Présentation originale et amusante de diverses techniques pour injecter du code malicieux à travers un navigateur. Ça commence avec l'utilisation des URLs courtes, pour continuer sur l'encapsulation de javascript dans une image : d'abord encodé en niveaux gris dans un PNG, puis directement dans GIF ou un BMP, et enfin dans le canal alpha.
• La présentation sur PEDA/GDB ayant été annulée, elle a été remplacée par une table ronde dite "Open Bottle Panel Discussion" avec pleins de gens a priori intéressants. Au final, on a eu droit à une grosse troll session à base de private jokes d'un intérêt plus que discutable. Bref, une pure perte de temps...
• "Messing up the kids playground, eradicating easy targets", Fyodor Yarochkin (P1Sec)^[2]. Une présentation qui démarre sur un panorama de la cybercriminalité en Russie et des techniques de monétisation émergentes, en particulier via les services mobiles. La suite porte sur les résultats qu'une vaste analyse passive de trafic DNS, avec des découvertes intéressantes comme l'enregistrement de domaines pendant une trentaine de minutes par le truchement d'offres d'essai, pour finir sur un scanner de service destiné à détecter les webapps vulnérables avant que les mafieux ne les exploitent et les utilisent activement.
• "Hacking Huawei VRP", Felix "FX" Lindner (Recurity Labs). Il s'agit de la fameuse conférence sur les routeurs chinois, sujet ô combien cher à monsieur le sénateur Bockel. On y découvre une tripotée de vulnérabilités venues tout droit des années 90, une prise en compte de la sécurité par le constructeur digne de la même période, une protection inexistante de l'accès physique mais pas vraiment de backdoor. Les conspirationnistes rétorqueront que le chemin entre vulnérabilité et porte dérobée n'est pas si long. Ce en quoi ils n'ont pas tout à fait tort...
• "A scientific (but non academic) study of malware obfuscation technologies", Rodrigo Rubira Branco (Qualys). Juste vu les dernières minutes et la distribution de cachaça^[3] pendant la séance de questions. Slides à creuser.
• "Element 1337 in the Periodic Table, Pwnium", Chris Evans (Google). Un retour sur la seconde édition du programme Pwnium lancé par Google. Du contexte, des chiffres, des montants, une partie sur l'analyse de l'exploit de Vupen sur Chrome annoncé l'an dernier et une description pas forcément détaillée de l'exploit gagnant, lequel s'attaque à une faille dans le parser SVG puis s'échappe de la sandbox.

La conférence se clôture avec la remise des prix du CTF et du HackWeekDay, suivie d'une enchère de charité dont le clou aura certainement été la vente de la queue de cheval de Mikko Hypponen pour la modique somme de 7000MYR^[4].
La journée se terminera au dernier étage d'un hôtel voisin pour une sympathique soirée d'anniversaire.

L'ensemble des slides de la conférence a été mis en ligne.
Je n'ai pas spécialement cherché d'autres compte-rendus, mais vous pourrez trouver celui de la team SCRT en particulier.
Des photos sont visibles chez moi d'une part et sur le site de la conférence d'autre part.

Notes

[1] Ce que l'auteur appelle être un "freedom fighter"...

[2] En collaboration avec Vladimir Kropotov, absent.

[3] L'ingrédient principal de la caïpirinha.

[4] soit un peu moins de 1800EUR.