En direct du SSTIC, la revanche...

Publié le 11 juin 2010 par Sid

C

omme prévu, la salle n'est qu'à moitié replie en ce beau vendredi matin ensoleillé. La contre-partie d'un Social Event bien réussi :)

La dernière journée est la plus légère. Elle commence plus tard que les autres. Évidemment oserai-je dire... Et elle finit plus tôt pour permettre à ceux qui le doivent d'attraper leur train ou leur avion à l'heure. Bref, fuir Rennes au plus vite ;)

Vendredi 11 juin 2010 - Jour 3

  • "Trusted Computing : Limitations actuelles et perspectives" par Frédéric Guihery, Frédéric Remi et Goulven Guiheux, Amossys. La présentation commence par un tour d'horizon des fonctionnalités qu'on classe dans la catégorie Informatique de Confiance. L'auteur regrette le manque de support de ces systèmes dans les systèmes d'exploitation modernes, comme le Trusted Boot, ainsi que le manque d'applications concrètes. Aujourd'hui, les besoins couverts sont la protection des données, la gestion d'identité et l'intégrité du système au démarrage. La seconde partie approfondit le fonctionnement, les applications et les orientations du TPM. On aborde l'attaque de Tarnovsky et la chaîne de confiance SRTM. Ensuite, c'ets le tour de Intel TXT, avec le principe et les attaques possibles. En conclusion, l'auteur propose des idées et pistes pour faire de l'intégrité et/ou de la confidentialité d'exécution.
  • "JBoss AS: exploitation et sécurisation" par Renaud Dubourguais, HSC. JBoss AS est un middleware qui a de plus en plus de succès, se retrouve de plus en plus embarqué sur appliance et se retrouve même en frontal sur le web. Première partie sur l'architecture interne du bestiau, l'accès aux MBeans et le rôle crucial du MBean Server pour la sécurité. Ensuite, on passe aux entensions de sécurité proposées, JBossSX et sandboxing Java natif, qui sont rarement utilisées dans la pratique parce souvent difficiles d'accès... Côté intrusion, le scénario proposé consiste à déployer une application SAR sur le serveur JBoss qui servira de backdoor. Petite vidéo en guise de démonstration, avec pénétration du serveur via la console d'administration, récupération et déploiement d'un shell Web en tant qu'application. L'auteur propose pas mal d'autres techniques d'exploitation et discute des apports de JBoss 5 et 6 qui suppriment chacun des fonctionnalités dangereuses évoquées précédemment. Il finit avec la démonstration d'une autre technique permettant d'exploiter ces dernières versions. Conclusion : il faut protéger l'ensemble des points d'entrées, un seul suffit à tout mettre par terre, minimiser la liste de services exposés et préférer SSH pour le déploiement des applications. La présentation est super intéressante mais très dense, je reprendrai tout ça avec les actes sur les genoux.
  • Hijacking de pause par Philippe Lagadec qui prend du rab pour faire une démonstration de son outil d'analyse de risque dynamique. C'était pas hier les rumps ?! :)
  • "Audit d'applications .NET complexes - le cas Microsoft OCS 2007 (R1 et R2)" par Nicolas Ruff, EADS Innovation Works. OCS[1] est un produit de communication unifiée qui se traduit dans la pratique par une énorme usine à gaz qui fait pleins de trucs avec pleins de SDK, d'outils, de protocoles propriétaires et des millions de lignes de code. Donc un truc intéressant à auditer d'autant qu'il est de plus en plus déployé. Nicolas de concentre sur le code de l'application qui repose essentiellement sur du bytecode .NET. Description rapide de la richesse de .NET. Le code .NET peut être compilé à la volée façon JIT[2] ou précompilé dans le GAC[3] sous forme de DLLs. Le bytecode conserve toute la sémantique du code source, ce qui rend la décompilation quasi immédiate avec un outil comme Reflector. On peut se livrer à du debugging, du profiling ou de la reflection. Bref, pleins de trucs qui permettent de comprendre rapidement ce qui tourne. On n'aura pas droit à la démo par manque de temps[4], mais tout de même un exemple d'application de ces techniques à Songsmith... Mais sans interprétation personnelle des chansons par le speaker... Dommage ;) Un exemple d'exploitation de MS09-061 et hop. L'intervention est surtout une excellente liste de pistes à explorer pour tous ceux qui veulent se lancer dans l'audit d'applications .NET, plus qu'une réelle analyse d'OCS.
  • "Sécurité des applications Web, la théorie des types à la rescousse" par Mathieu Baudet.

Vous pouvez toujours suivre le SSTIC sur Twitter (#sstic2010, #sstic) et Identi.ca (#sstic2010, #sstic), ainsi que sur d'autres fils et blogs sur lesquels les billets commencent à fleurir çà et là :

Notes

[1] Office Communication Server

[2] Just In Time

[3] Global Assembly Cache

[4] La bonne excuse...