Ekoparty 2010

Publié le 03 octobre 2010 par Sid

A

vec un peu de retard, mais pour rompre avec une absence prolongée de compte-rendus de conférence, permettez-moi donc de vous présenter la sixième édition de Ekoparty, qui s'est tenue les 16 et 17 septembre derniers au Konex à Buenos Aires. J'y étais passé faire un tour en 2008 à l'occasion de BA-Con. Cet aperçu autant que les retours plutôt élogieux sur l'édition 2009 m'avait donné envie d'y revenir.

Pour tout vous dire, je n'ai pas été déçu. Bien au contraire ! Comme dirait l'autre, "ça poutrait grave du poney"... Onze trainings dont tous ceux en espagnol étaient pleins à craquer, une matinée blindée pour les CIO/CSO du coin, vingt-six speakers pour vingt-quatre présentations, le tout dispensé devant un peu plus de 800 personnes venues d'Argentine et des pays voisins d'Amérique du Sud. Le tout accompagné de multiples à côtés...

En ce qui me concerne, Ekoparty a commencé dès le lundi, par un training de deux jours sur, devinez quoi ? De la sécurité Wi-Fi. J'avais quand même sérieusement rénové le contenu qui commençait sérieusement à sentir la poussière. En résumé, un peu moins de théorie, et beaucoup de pratique sur des setups et des cas de la vraie vie, le genre de truc généralement mal abordé, voire pas du tout, dans les tutoriaux : gérer le filtrage d'adresse MAC, l'authentification WEP, l'absence de client, l'absence d'AP, etc.

Le mercredi était réservé aux trainings d'une seule journée, mais point de grasse matinée pour autant : j'étais de table ronde à l'occasion d'un "Executive Briefing" qui se déroulait au très classe Cercle Italien. La discussion fut intéressante, en particulier la partie sur les analyses de risque et leur pertinence dans le temps. Un barbecue et un dîner des speakers plus tard, il était temps de passer aux choses sérieuses...

Jeudi 17 septembre - Jour 1

La conférence se déroule donc au Konex, un complexe culturel aménagé dans une ancienne raffinerie ouvertes dans les années 1920, de ce que j'en ai compris. Pas mal de présentations sont annoncées en espagnol, mais ce n'est pas plus grave que ça dans la mesure où on nous propose une traduction simultanée[1] de très bonne qualité.

La salle principale tient un peu plus de 700 personnes. Elle est pleine à craquer pour l'ouverture qui se fait une heure en retard, histoire de bien stresser le premier intervenant ;) Elle restera bien remplie tout au long de ces deux jours.

  • "Hacking, an activity of public interest?"[2], par votre serviteur. Talk d'ouverture pendant lequel je vais développer l'idée de protéger les activités indépendantes en matière de sécurité. J'y fais référence sous le terme de hacking, cédant il faut bien l'avouer à la facilité du titre accrocheur. L'idée étant de tirer partie d'une part de la potentiel innovant et d'autre part de la capacité d'évaluation qu'elles apportent et que personne ne peut aujourd'hui envisager fournir considérant la pénétration de l'informatique dans nos sociétés. Ce qui implique quelque part l'exercice difficile mais nécessaire à mon sens de la définition un cadre, tant sur l'épineux terrain de la divulgation de faille que sur celui de la juste protection des inventions.
  • "Understanding the Win SMB NTLM weak nonce vulnerability", Hernán Ochoa et Agustin Azubel, Amplia Security. Une explication de la vulnérabilité CVE-2010-0231, adressée dans MS10-012, qui concerne un manque d'entropie dans la génération des challenges NTLM. Au delà de la description de la faille, les auteurs s'attacheront en particulier à démontrer qu'elle ne se limite pas à l'élévation de privilège annoncée par Microsoft, mais permet bel et bien l'exécution de code à distance.
  • "Distinguishing Lockpicks: Raking vs Lifting vs Jiggling and More", Deviant Ollam, TOOOL. Une intéressante revue des outils de lockpicking et techniques associées. J'y ai découvert les Bogotas que je ne connaissais pas dont l'utilisation, bien que demandant un peu d'apprentissage, s'avère bigrement efficace... On retrouvera Deviant au Lockpicking Village et le lendemain pour le challenge Gringo Warrior.
  • "WPA Migration Mode: WEP is back to haunt you", Diego Sor et Leandro Federico Meiners, Core Security. C'était une des deux présentation de sécurité Wi-Fi de la dernière BlackHat/Defcon, et en particulier celle qui avait vraiment du contenu... Après avoir décortiqué le mécanisme de cohabitation WEP/WPA[3] proposé par Cisco, ils nous expliquent comment le contourner en cassant la clé WEP, y compris sans station WEP en vue. Les patches pour Kismet et Aircrack-ng sont disponibles.
  • "Understanding the Low Fragmentation Heap: From Allocation to Exploitation", Chris Valasek, Accuvant. Un panorama du fonctionnement du Low Fragmentation Heap introduit dans Windows Vista et de sa possible exploitation. Précis, apparemment exhaustif... Et long :)
  • "Web Application Security Payloads", Lucas Apa et Andres Riancho, Bonsai Sec. Une présentation centrée sur le framework d'attaque web w3af et montrant la notion de payload, en faisant un parallèle avec Metasploit. Intéressant, avec de belles démos à l'appui.
  • "Network-based detection of PE structural anomalies and linker characteristics", Gary Golomb, NetWitness. Une présentation sur la capacité de détecter les malwares sur le réseau, presqu'à la volée, en analysant le linker des exécutables PE. Faudrait se pencher plus avant sur le papier que je n'ai malheureusement pas encore trouvé sur le net...
  • "Atacando VoIP....un paraiso", Giovanni Cruz. Un panorama de la sécurité VoIP en s'appuyant sur la distribution spécialisée VAST. Rafraichissant.
  • "2x1 Microsoft Bugs: Virtual PC hyper-hole-visor + Windows Creation Vulnerability (MS10-048)", Nicolás Economou, Core Security. Une présentation plus visuelle que vraiment informative sur deux bugs récents. Le premier est une vulnérabilité dans le gestionnaire de mémoire de Virtual PC qui rend exploitable en environnement virtualisé des vulnérabilité qui ne le seraient pas forcément autrement. Le second est une élévation de privilèges passé à travers le premier correctif pour la faille sur"xxxCreateWindowEx".
  • "Token Kidnapping's Revenge"[4], César Cerrudo. Le retour de la vengeance du Token Kidnapping nouvelle version, permettant de contourner le correctif proposé par Microsoft l'an dernier. Démos, évidemment, mais aussi exploits à l'appui...
  • "SAP Backdoors, a ghost at the heart of your business", Mariano Nuñez di Croze, Onapsis. L'auteur, dont la réputation en sécurité SAP n'est plus à faire, nous démontre plusieurs chemins d'attaque permettant de compromettre un système SAP et d'y installer une backdoor. Intéressant, considérant le nombre de boîtes qui utilisent SAP et ce qu'elles y stockent...

Entre César et Manuel, nous avons eu un turbo talk de dernière minute plutôt interactif paraît-il, que j'ai honteusement zappé pour faire un tour au lockpicking village.

Vous aurez remarqué que j'ai rapidement abandonné l'idée de faire des photos. Le manque cruel de lumière dans la salle et sur l'estrade associés à des speakers pleins de fougue rendant l'exercice de style particulièrement décourageant... L'éclairage sera corrigé le lendemain, ce qui va se directement se sentir sur la qualité des clichés.

Vendredi 18 septembre - Jour 2

On attaque par une keynote de César Cerrudo sur la divulgation de failles.

  • "Historias de 0days, Disclosing y otras yerbas", César Cerrudo. Le retour de César pour une allocution[5] durant laquelle il nous explique sa vision de la publication de failles. Le moins qu'on puisse dire, c'est qu'il est remonté contre les éditeurs, Oracle et Microsoft en tête. Sur le mode "je vous ferait cracher au bassinet parce qu'il n'y a que ça que vous comprenez", il détaille plusieurs expériences personnelles ainsi que d'autres cas illustrant les difficultés à communiquer avec des éditeurs et leur vision de la responsabilité. Très intéressant, et à prendre avec un peu de distance. Pour moi, ça rejoint parfaitement ce que je racontais la veille et n'est qu'une illustration de plus de la nécessité d'encadrer un minimum la divulgation de faille pour protéger ceux qui les trouvent des caprices des éditeurs...
  • "Virtually Pwned, pentesting VMware", Claudio Criscione, virtualization.info. Dans la même veine que sa présentation à Syscan Singapour, Claudio décrit comment compromettre une architecture VMware ESX en s'appuyant sur VASTO pour attaquer ses différents composants. À méditer...
  • "Pentesting Driven por FOCA", Chema Alonso, Universidad Rey Juan Carlos de Madrid. Probablement la présentation la plus ludique de la conférence avec d'une part un véritable showman au micro et d'autre part un outil d'extraction et d'analyse de métadonnées fort bien conçu, FOCA. L'outil permet en effet d'aller récupérer sur le web tout plein de documents sur un domaine donné, d'en extraire les métadonnées et les analyser pour trouver de précieuses informations sur les organisations ciblées et leurs infrastructures. C'est bien ficelé, le concept étant vraiment poussé et automatisé. Outil parfait pour illustrer les risques de fuite d'informations.
  • "Sandboxing based on SECCOMP for Linux kernel", Nicolas Bareil, EADS. Nicolas nous présente l'extension SECCOMP du noyau Linux, ses apports ainsi qu'une solution de sandobxing qui l'utilise, seccomp-nurse. L'outil est disponible au téléchargement. On vous encourage à le tester et à lui faire part de vos commentaires... Même désagréables ;)
  • "Exploiting Digital Cameras", Oren Isacson et Alfredo Ortega, Core Security. Les auteurs nous expliquent comment ils ont reversé le firmware de compacts numériques Canon et trouvé une méthode d'attaque permettant de compromettre l'appareil à partir d'une carte SD. L'attaque exploite en particulier des fonctionnalités de scripting non documentées proposées par le firmware qui rendent l'exploitation assez générique. L'utilisation d'un appareil compromis pour attaquer un PC est également mentionnée, typiquement avec la faille LNK. Plus d'infos chez Core.
  • "Wrong Way, a Black Hat True Story"[6], Michael Hudson. Le speaker nous raconte ses mésaventures avec la justice chilienne après qu'il ait été arrêté pour avoir compromis le site d'une compagnie aérienne et voyagé presqu'à l'œil en se créditant des miles à gogo. Intéressant, et courageux de sa part.
  • "Your life online, no more secrets Marty", Roelof Temmingh, Paterva. Ou comment un gouvernement peut tracer la vie privée des gens en utilisant Maltego. Un poil de paranoïa ne fait jamais de mal :)
  • "iPhone Rootkit, there's an app for that!", Eric Monti, SpiderLabs. Pas de nouveauté ici, mais une très bonne explication de texte sur les derniers outils de jailbreaking pour iPhone. Principe, failles exploitées, méthodes, tout y est détaillé. Un bon point de départ pour ceux qui voudraient découvrir le domaine.
  • "Hanging on a ROPe", Pablo Sole, Immunity. Présentation d'un outil automatisant la création de shellcodes en Return Oriented Programming (ROP).
  • "Padding Oracles Everywhere", Juliano Rizzo, Netfifera, et Thai Duong, VNSEC. S'il y avait une conférence que j'attendais, il s'agissait bien de celle-ci. Elle annonçait en effet la publication d'une faille permettant, selon les auteurs, rien de moins que de compromettre l'essentiel des applications web ASP.NET en ligne. Ces derniers partent des conclusions d'un papier de 2002 sur des vulnérabilités liées au padding en mode CBC et les appliquent à des Captchas et JavaServer Faces avec leur outil, POET. Ils décrivent également un oracle pour chiffrer des données. Vient ensuite le gros morceau visant ASP.NET sur lequel ils obtiennent un remote root en associant leurs techniques et le Token Kidnapping de César en dernière étape. Ça fait mal, d'autant qu'une version de l'exploit, certes obfuquée par un challenge, a été distribué sur trois clés USB lancées à l'assistance : "That's what we call throwing an exploit"... Microsoft a sorti hors-bande le patch qui va avec mardi soir.
  • "Transfering files on isolated remote desktop environments", Hernán Ochoa, Amplia Security. Présentation didactique sur une technique rendant possible le transfert de fichiers entre un client et un serveur Citrix en post-exploitation, en s'appuyant sur le protocole de communication utilisé par la GUI.
  • "Jackpotting Automated Teller Machines", Barnaby Jack, IOActive. Présentation attendue pendant laquelle Barnaby détaillera les failles qu'il a découvertes dans plusieurs ATM[7], soit de type standalone que nous ne connaissons pas dans l'hexagone, soit de type bancaire comme ceux que nous avons, ainsi que la backdoor qu'il a développée pour en prendre le contrôle. La présentation tient surtout du show avec une longue démo en vidéoconf live mettant à profit son assitante depuis son appartement. Ça se termine comme à BlackHat, avec un ATM crachant tous ses billets sur le sol en jouant une musique de Jackpot. C'est distrayant, énergique, on ne s'ennuie pas. Sur le fond, pas grand chose de surprenant, sinon le fait de l'avoir fait et d'avoir mis un grand coup de pied dans le risk model de certaines banques :)

La conférence s'achève sur le coup de 21h pour se poursuivre, après un bon repas dûment arrosé, comme il se doit, à Palermo, dans une grande boîte pour une soirée qui débutera à... 2h du mat...

Les supports de présentations n'ont pas encore été mis en ligne par les organisateurs, mais ça ne saurait tarder. En attendant, j'ai pointé vers ceux qui sont disponibles, soit lorsque les auteurs les ont mis en ligne indépendamment, soit parce qu'ils sont en ligne sur le site de conférences où certaines présentations ont déjà été proposées. En outre, il existe un fil Ekoparty sur Vimeo qui devrait recevoir les vidéos des talks au fur et à mesure. Celui de Juliano et Thai est d'ors et déjà disponible, y compris le lancé d'exploits[8].

Mes photos sont en ligne. Je suis assez content de moi sur la deuxième journée, pas trop sur la première comme je vous le disais avant. Je vous invite également à aller consulter celle de Golmatt, qui sont excellentes, sur Picasa et un peu sur Flickr.

S'il y a un point sur lequel les français se retrouveront avec les argentins, c'est bien la bouffe. Comme nous, ils y vouent un véritable culture. La viande en est un excellent exemple, qu'elle soit proposée dans un parrilla, le nom des restaurants de viande, ou autour d'un barbecue entre amis. Mais c'est loin d'être le seul exemple, loin s'en faut, et il ne faut pas hésiter à pousser la porte d'une panaderia ou d'une confiteria pour s'en convaincre. Parmi les établissements testés à Buenos Aires, j'ai retenu :

  • le Café Margot[9], Boedo 857, sympathique café qui propose une variété hallucinate de sandwiches ;
  • le Gran Parrilla del Plata, Chile 594, une institution située dans une ancienne boucherie des années 30, la Grandes Carnicerias del Plata;
  • un restaurant espagnol, le Plaza Major, San José 430, un poil cher et sur lequel les avis divergent, mais où nous avons fort bien mangé avec en outre une excellente liste de vins ;
  • un bon restaurant argentin à Palermo, Campo Bravo, Honduras 5600 ;
  • un autre parrilla, La Brigada, Estados Unidos 465, que j'ai même préféré au précédent, où la viande servie nous a été découpée... à la cuillère à soupe!

Côté desserts et sucreries, on s'attardera d'une part sur la confiture de lait, dulce de leche, qu'on retrouve presque partout[10] y compris aux côtés du classique flan aux œufs, ou flan casero, et d'autre part sur les glaces qu'on peut savourer jusqu'à pas d'heure dans San Telmo. À noter qu'on peut acheter le dulce de leche au kilo même à l'aéroport...

Et ce n'est qu'un très vague aperçu...

Notes

[1] Anglais vers espagnol et inversement.

[2] Je n'ai pas utilisé de transparents.

[3] Encore une idée de vainqueur...

[4] Un papier plus étoffé est également disponible.

[5] Comme moi, il fera sans support.

[6] Pas de slides non plus...

[7] DAB ou GAB selon le modèle, dans langue de Molière.

[8] Vous pourrez même y voir un gars qui passe prendre des photos ;)

[9] Attention, Google Maps le situe mal sur la carte (?!) bien que l'adresse soit la bonne...

[10] C'est un peu comme le Nutella chez nous...